close
Share with your friends

DSGVO: Wie Aufsichtsbehörden Bußgelder für Verstöße bemessen

DSGVO: Konzept zur Bußgeldzumessung für Verstöße

Die Datenschutzaufsichtsbehörden haben ein Konzept vorgelegt, wie bei Verstößen gegen die Datenschutz-Grundverordnung Bußgelder berechnet werden. Wir erläutern die Regelung.

Verwandte Inhalte

Gelbe Leuchte

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 16. Oktober 2019 das Konzept vorgelegt, das die Bußgeldzumessung bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) festlegt. Eines der Ziele der DSK ist, das europäische und das nationale Datenschutzrecht einheitlich anzuwenden.

Das Konzept wurde vom Arbeitskreis Sanktionen der DSK entwickelt und bereits im Juni von der Berliner Datenschutzbehörde vorgestellt und erläutert. Es wird als eine Reaktion auf das Modell der französischen Datenschutzbehörde CNIL gesehen, das die deutschen Datenschützer als zu wenig nachvollziehbar und zu stark einzelfallbezogen betrachten.
 

Wen betrifft das Konzept?

Das Konzept soll den deutschen Datenschutzbehörden als Grundlage dienen für die Berechnung eines Bußgeldes bei Verfahren im Anwendungsbereich der DSGVO. Betroffen sind alle in der Europäischen Union ansässigen Unternehmen, die personenbezogene Daten verarbeiten (sachlicher Anwendungsbereich), sowie Unternehmen mit Sitz außerhalb der EU, die in der Union Waren oder Dienstleistungen anbieten oder das Verhalten von Personen beobachten (räumlicher Anwendungsbereich, Marktortprinzip).

Es wird explizit nicht angewendet für Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit und für grenzüberschreitende Fälle. Es ist auch nicht bindend für andere Datenschutzaufsichtsbehörden in der EU und ebenso wenig für die Festlegung von Bußgeldern durch Gerichte.
 

Wie funktioniert das Konzept?

Wie schon durch die DSGVO vorgesehen, orientiert sich das Konzept am Umsatz eines Unternehmens, da aus Sicht der DSK „der Umsatz eine geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung darstellt“ (vgl. Konzeptpapier der DSK vom 14.10.2019).

Zur Berechnung sieht das Konzept ein fünfstufiges Modell vor:

  1. Zunächst unterteilt das Konzept Unternehmen anhand des Umsatzes in kleinste, kleine, mittlere und große Unternehmen (Größenklassen).
  2. Danach erfolgt eine Einstufung in Untergruppen (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII). 
  3. Aus dem mittleren Jahresumsatz der Untergruppe ergibt sich ein Tagessatz für die jeweilige Untergruppe als wirtschaftlicher Grundwert. Bei einem Jahresumsatz von mehr als 500 Millionen Euro wird diese Berechnung nicht mehr zugrunde gelegt, sondern ein konkreter Tagessatz berechnet.
  4. Im Anschluss wird der Verstoß je nach Schweregrad in eine von vier Kategorien (leicht, mittel, schwer, sehr schwer) eingeteilt sowie unterschieden danach, ob es sich um einen materiellen oder formellen Verstoß gemäß den Kriterien in Art. 83 DSGVO handelt. Aus dieser Einordnung ergibt sich ein Multiplikationsfaktor, der mit dem wirtschaftlichen Grundwert multipliziert wird. 
  5. Dieser errechnete Betrag kann im letzten Schritt anhand der für oder gegen das Unternehmen sprechenden Umstände angepasst werden.

Beispiel: Ein Unternehmen A mit einem mittleren Jahresumsatz von 60 Millionen Euro ist als Großunternehmen in der Untergruppe D.I anzusiedeln. Für diese Untergruppe liegt der wirtschaftliche Grundwert bei 173.611 Euro. Hat A einen mittleren materiellen Verstoß gegen die DSGVO begangen, ist ein Multiplikationsfaktor zwischen 4 und 8 heranzuziehen. Somit ergibt sich ein Bußgeld zwischen 694.444 Euro und 1.388.888 Euro (sprich 1,16 Prozent bis 2,31 Prozent des Jahresumsatzes).
 

Was ist zu erwarten und was bleibt offen?

Die Unternehmen erhalten mit dem Konzept einen ersten Anhaltspunkt, welche Bußgelder gemäß dieses Modells bei Verstößen gegen die DSGVO zu erwarten sind. Auf Basis des Konzepts dürften die Bußgelder höher liegen als bislang. 

Allerdings bleibt für die Unternehmen eine Unsicherheit: nämlich wie der Schweregrad eines Verstoßes einzustufen ist. An dieser Stelle ist das Konzept unkonkret  - erst in der Praxis wird sich hierfür ein Kriterienkatalog ergeben.

Auch die Berücksichtigung der täterbezogenen Umstände bleibt offen. Das Konzept verweist nur auf die Kriterien des Art. 83 Abs. 2 DSGVO, geht aber nicht darauf ein, wie sich diese auf das Bußgeld auswirken.

Diese beiden Punkte lassen vermuten, dass in der Umsetzung das Konzept zunächst sehr unterschiedlich ausgelegt werden wird.

© 2020 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative (“KPMG International”), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP) einreichen

 

loading image Zum Angebotsformular