Am 14. Oktober hat die Datenschutzkonferenz (DSK) ein einheitliches Konzept zu den Grundsätzen bei der Festsetzung von Geldbußen veröffentlicht.
Das Konzept wird im Folgenden beschrieben.
Anwendungsbereich: Das Konzept betrifft die Bußgeldberechnung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO). Es findet insbesondere keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Das Konzept ist auch weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend.
Verfahren in fünf Schritten:
- Größenklasse – das betroffene Unternehmen wird auf der Grundlage seines Umsatzes einer der 20 umsatzbezogenen Größenklassen zugeordnet. Die kleinste Umsatz-Klasse A.I betrifft Unternehmen mit einem Jahresumsatz von bis zu 700.000 €, die höchste Klasse D.VII Unternehmen mit einem Umsatz von mehr als 500 Mio. €. Maßgeblich ist der gesamte weltweit erzielte Vorjahresumsatz der Unternehmen (Art. 83 Abs. 4 bis 6 DS-GVO). Und mit Unternehmen meint die DSK den gesamten ggf. weltweit operierenden Konzern.
Der Unternehmensbegriff ist allerdings umstritten. Unklar ist, ob mit „Unternehmen“ im Sinne des Art 83 die einzelne natürliche oder juristische Person gemeint ist, wie dies Art 4 Ziffer 18 DSGVO vorsieht, oder der Konzern und damit der kartellrechtliche Unternehmensbegriff. Dass dies erhebliche Auswirkungen auf die Berechnung des Bußgelds hat, ist offensichtlich. Die DSK beruft sich auf den Erwägungsgrund 150 S. 8. Darin heißt es, dass Unternehmen – wenn es um Bußgelder geht – solche im Sinne der Artikel 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union – AEUV sind. Artikel 101 und 102 verwenden den kartellrechtlichen Unternehmensbegriff.
- Mittlerer Jahresumsatz – aus der Größenklasse gemäß Ziffer 1 wird der mittlere Wert zugrunde gelegt, also etwa aus der Größenklasse D.III, Konzerne mit einem Jahresumsatz von 100 Mio.€ bis 200 Mio. €, der Wert von 150 Mio. €.
- Wirtschaftliche Grundwert – ist der mittlere Jahresumsatz geteilt durch 360 Tage, also ein Tagessatz, im Bsp.: 150 Mio. € / 360 = 416.667 € (gerundet).
- Multiplikator – der Grundwert im Sinne der Ziffer 3 wird multipliziert mit einer natürlichen Zahl, deren Größe von der Gewichtung der Datenschutzrechtsverletzung abhängt. Dabei unterscheidet die DSK zwischen formellen und materiellen Verstößen und gewichtet entsprechend unterschiedlich:
|
Schweregrad |
Faktor für formelle Verstöße, Art 83 Abs. (4) DSGVO |
Faktor für materielle Verstöße, Art 83 Abs. (5), (6) DSGVO |
|
Leicht |
1-2 |
1-4 |
|
Mittel |
2-4 |
4-8 |
|
Schwer |
4-6 |
8-12 |
|
Sehr schwer |
6< |
12< |
- Anpassung, sonstige Umstände – Der unter Ziffer 4. errechnete Betrag wird ggf. anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens