Neues Bußgeldkonzept für Datenschutzverstöße

Die Datenschutzbehörden der Länder und des Bundes verbreiten ihr „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ jetzt im Internet.

Vor Kurzem erst verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk gegen ein Lieferunternehmen für Speisen Deutschlands bislang höchste Datenschutz-Bußgelder in Höhe von insgesamt 195.407 Euro für eine größere Anzahl von Einzelverstößen (10 alte Kundenkonten nicht gelöscht, 8 Kunden mit mehreren Werbemails ohne Einwilligung bzw. gg. Widerspruch, 5 x Auskunftsbegehren verweigert oder erst nach Behördeneinschreiten).

Da wird man aufmerksam, denn so gewaltig lesen sich die vorstehenden Verstöße nicht. Aber durch hohe Tagessätze, die etwa bei Kleinstunternehmen mit Umsätzen bis 700.000 Euro dann bei 972 Euro liegen oder z.B. bei Unternehmen bis 5 Mio. Umsatz bei 9.722 Euro kommt es schnell zu hohen Beträgen. Ein mittlerer materieller Verstoß läge etwa bei 5.832 Euro für den erstgenannten Umsatz und bei 58.332 Euro für Unternehmen bis 5 Mio. Umsatz.

Als besonderes Merkmal von Plattform-Märkten gilt, dass alle Beteiligten aus der Plattform Vorteile ziehen – und das sehen auch die allermeisten deutschen Unternehmen so. Ganz oben in der Liste der Nutznießer stehen dabei die Plattformbetreiber selbst (98 Prozent), aber 79 Prozent sehen auch Vorteile für die Anbieter auf der entsprechenden Plattform und 73 Prozent für die Kunden, die die Plattform nutzen. Mehr als jeder Zweite (53 Prozent) ist sogar überzeugt, dass die gesamte Branche von einer digitalen Plattform Vorteile hat.

Das ist schon fast nur ein einziger Tagessatz für Unternehmen bis 20 Mio. Umsatz (48.611 Euro Tagesssatz). Ein Unternehmen mit bis zu 20 Mio. Umsatz müsste für den gleichen Verstoß mit 291.666 Euro Bußgeld rechnen.

Berechnungsgrundlage für Bußgelder

Grundlage für die Erhebung von Bußgeldern ist also der Umsatz eines Unternehmens im vorausgegangenen Geschäftsjahr. Dies ergibt sich ja bereits zwingend aus Art. 83 Abs. 4 und 5 DSGVO.

Aus diesem Umsatz wird ein Tagessatz ermittelt (ein nach Gruppen ermittelter mittlerer Jahresumsatz wird also durch rund 360 geteilt).

Schwere der Tat als Faktor

Dieser Tagessatz wird mit einem Faktor von 1 bis – eine Obergrenze des Faktors nennt das „Konzept“ leider nicht – multipliziert. Bestimmend für den Faktor ist der Schweregrad der Tat und ob es sich um einen formellen Verstoß oder um einen materiellen Verstoß handelt.

Formelle Verstöße dürften dabei insbesondere Verstöße gegen Informationspflichten sein, materielle Verstöße dürften Verstöße bei der tatsächlichen Datenverarbeitung darstellen.

Aus welchen Gesichtspunkten sich genauer die Einstufung in die Faktoren ergibt, ist nicht ersichtlich. Völlig unklar bleibt auch, wann ein leichter, mittlerer, schwerer oder sehr schwerer Verstoß vorliegen soll. Von einem Punktesystem zur Feststellung des jeweiligen Faktors, wie es in den ursprünglichen Meldungen vor einem Monat noch erwähnt wurde, findet sich in dem jetzt veröffentlichten Konzept nichts.

Weitere Faktoren

Der so ermittelte Bußgeldwert wird dann noch unter Berücksichtigung weiterer Faktoren gemindert oder erhöht – wie genau wird nicht erwähnt.

Fazit

Unternehmen, die von einem Bußgeld nach DSGVO betroffen sind, sollten prüfen lassen, wie hoch die Erfolgsaussichten sind, dagegen gerichtlich vorzugehen. Bußgelder, die auf dem jetzt veröffentlichten Konzept erlassen werden, sollten unbedingt gerichtlich überprüft werden. Die Überprüfung durch die Gerichte ist die einzige Kontrolle, der die Datenschutzbehörden unterliegen.