Nachdem die DSK Ende 2019 ein Berechnungsmodell für Bußgelder veröffentlichte, zieht nun Dänemark nach. Die dänische Datenschutzaufsicht Datatilsynet hat unlängst das eigene Berechnungsmodell für Bußgelder für Verstöße nach der DSGVO veröffentlicht. Wir geben einen allgemeinen Überblick.
Der Inhalt im Überblick
Berechnungsmodell dient der Transparenz
Nach wie vor sind drohende Bußgelder einer der wesentlichen und am leichtesten greifbaren Anreize für datenschutzkonformes Verhalten. Nur weniges rüttelt die datenschutzrechtliche Community so sehr auf wie neue, öffentlichkeitswirksame Bußgelder, sind sie doch einerseits Indikator für die Gewichtung interner Risikoabwägungen als auch für die aktuelle Spruchpraxis der Aufsichtsbehörden.
Nachdem die deutschen Aufsichtsbehörden bereits seit einer Weile nach den eigens aufgestellten Berechnungstabellen für Datenschutzverstöße vorgehen und hier nicht nur auf Kritik, sondern auch sanften Widerstand im gerichtlichen Verfahren stoßen, zieht nun der europäische Nachbar Dänemark nach und veröffentlicht eigene Kriterien.
Dänisches Bußgeld-Bemessungsmodell
In der bislang nur auf dänisch verfügbaren Leitlinie werden Grundsätze festgelegt, welche die Bemessung von Bußgeldern transparent gestalten und auf lange Sicht „standardisierte Geldbußen für bestimmte Verstöße“ ermöglichen soll. Ausdrücklich wird jedoch darauf hingewiesen, dass auch dieses Modell lediglich ein Arbeitsdokument darstellt und durch Diskussionen auf europäischer Ebene beeinflusst werden kann und wohl auch wird.
Konkrete Inhalte der Leitlinie
Die Leitlinie umfasst 23 Seiten und stellt recht breit und mit Beispielen garniert dar, wie die Bemessung eines Bußgeldes konkret erfolgen wird. Wir bemühen uns, im Folgenden einen übersichtlichen Einblick in den Prozess zu verschaffen.
Im Wesentlichen erfolgt die Bemessung des Bußgeldes in Schritten:
- Ermittlung des Grundbetrages
- Anpassung des Grundbetrages anhand des konkreten Verstoßes
- Erschwerende oder mildernde Elemente
- Anpassung an den jeweiligen Höchstrahmen
- Berücksichtigung der Zahlungsfähigkeit
Jeder dieser Punkte wird im Berechnungsmodell mal mehr, mal weniger detailliert beschrieben.
1. Grundbetrag
Der jeweilige Grundbetrag richtet sich nach der Art des jeweiligen Verstoßes. Es wird dabei zwischen sechs einzelnen Kategorien differenziert, wovon die Kategorien 1 – 3 aus dem Bußgeldkatalog des Art. 83 Abs. 4 DSGVO und 4 – 6 aus dem des Art. 83 Abs. 5 DSGVO entnommen sind.
Für jede dieser Kategorien wird zwischen leichten, mittleren und schweren Verstößen differenziert. Daraus ergibt sich folgende Aufteilung:
- Kategorien 1 und 4 (leichter Verstoß), z.b.
- Fehlende Benennung eines Vertreters in der EU
- keine Zusammenarbeit mit der Aufsichtsbehörde
- unterlassene Benachrichtigung der Empfänger bei Löschung
- Kategorien 2 und 5 (mittlerer Verstoß), z.B.
- Verstoß gegen Art. 11 DSGVO
- Verstöße im Zusammenhang mit dem Verzeichnis der Verarbeitungstätigkeiten
- Unterlassene Benachrichtigung von Betroffenen im Falle eines Vorfalls
- Verstöße bei der Bennung eines Datenschutzbeauftragten
- Verstöße gegen die Grundsätze des Art. 5 DSGVO
- Verstöße gegen Art. 6 DSGVO
- Verstöße gegen Transparenzpflichten nach den Artikeln 13 und 14 DSGVO.
- Verstöße im Zusammenhang mit von Betroffenenrechten
- Kategorien 3 und 6 (schwerer Verstoß), z.B.
Jeder dieser Kategorien wird ein entsprechender Grundbetrag zugewiesen, der sich zunächst prozentual am möglichen Höchstbußgeld berechnet.
Daraus ergeben sich Grundbeträge von
- 5% der höchstmöglichen Sanktion (Kategorien 1 und 4)
- 10% der höchstmöglichen Sanktion (Kategorien 2 und 5)
- 20% der höchstmöglichen Sanktion (Kategorien 3 und )
Besondere Berücksichtigung von KMU
Interessant ist, dass auch den Bedürfnissen von kleinen und mittelständischen Unternehmen (KMU) Rechnung getragen wird. Hier ist eine Absenkung dieser Beträge für Kleinstunternehmen (0,4% des errechneten Grundbetrags), Kleinunternehmen (2%) und mittelständische Unternehmen (10%) vorgesehen.
Die Behörde betont, dass der Grundsatz der Verhältnismäßigkeit schon bei der Bemessung dieser Grenzen eingeflossen wäre und insbesondere die Abschreckungswirkung von Bedeutung sei.
Bei der Frage, ob für ein Unternehmen oben genannte Absenkungen in Frage kommen, ist jedoch nicht nur die Mitarbeiterzahl oder Größe des Unternehmens relevant, sondern auch der Umsatz und der Marktanteil. So kann ein höherer Rahmen für ein Unternehmen mit großem Marktanteil gerechtfertigt sein, weil aus dem Marktanteil im Einzelfall auch ein höheres Risiko für die Rechte und Freiheiten der Betroffenen entstehen könne.
2. Anpassung des Grundbetrags anhand des konkreten Verstoßes
Die Kriterien, anhand derer der ermittelte Betrag modifiziert wird, erinnert an die hiesigen Kriterien, die auch inhaltlich niemanden ernstlich überraschen dürften. Relevant sind nach der Leitlinie folgende Punkte:
- Umfang im örtlichen Sinne
Grenzüberschreitenden Sachverhalten wird per se ein höheres Risiko zugeschrieben, da hier oftmals die Rechtewahrnehmung von Betroffenen und die Zusammenarbeit der Behörden erschwert werden. - Bedeutung der Akteure und ihrer Tätigkeiten
Von Relevanz ist auch, um welche Art von Betroffenen es sich handelt. Das Bußgeld soll beispielsweise nicht den Zweck verfolgen, den freien Wettbewerb oder politisches Engagement einzuschränken. - Verarbeitung im Kernbereich des Unternehmens
Relevant ist überdies, ob die betroffene Datenverarbeitung einen Kernbereich der Tätigkeit des Unternehmens ausmacht oder es um Randerscheinungen geht. - Verfolgte Zwecke
Die Zwecke der betroffenen Verarbeitung sind von erheblicher Bedeutung. So wird etwa dem Umstand, dass eine betroffene Verarbeitung einen sozialen Zweck verfolgte positiver gesehen als rein gewerbliche oder werbende Tätigkeit. Die Behörde nennt hier eine Verarbeitung zum Zwecke der Auszahlung einer Pension gegenüber einer Marketingaktivität als Beispiel. - Umfang des Verstoßes
Zudem wird berücksichtigt, wie viele Betroffene es gibt. Dabei zählen sowohl tatsächlich betroffene als auch lediglich – etwa durch einen systembedingten Verstoß – potenziell Betroffene. - Ausmaß des Schadens
Der eingetretene Schaden für die Betroffenen wird in Rechnung gebracht. Auch hier wird auf tatsächlichen und potenziellen Schaden abgestellt. - Dauer des Verstoßes
Zuletzt ist relevant, wie lange der Vorfall andauerte und wie lange Kenntnis von ihm bestand, bevor Gegenmaßnahmen eingeleitet wurden.
3. Erschwerende oder mildernde Elemente
Nachdem die objektiven Elemente des Verstoßes erfasst wurden, werden nun einzelfallbezogene Fragen, insbesondere mit Blick auf das Verhalten des Verantwortlichen gestellt:
- Vorsatz oder Fahrlässigkeit
Als bußgelderhöhend wird das vorsätzliche Handeln angesehen. Dies kann bereits dadurch erwiesen sein, dass das Unternehmen gegen die ausdrücklichen Empfehlungen des Datenschutzbeauftragten handelt oder etwa ein IT-System trotz bekannten Mängeln aus Kostengründen einsetzt. Beispielhaft wird hier der Einsatz von zwei Systemen, von denen eines über eine Löschmöglichkeit verfügt, das andere aber nicht, genannt. Daraus ergäbe sich, dass die Relevanz einer Löschmöglichkeit bekannt gewesen sein muss. Eine Absenkung des Bußgeldes für fahrlässige Begehung ist ausdrücklich nicht vorgesehen, da diese bereits Grundvoraussetzung für die Verhängung eines Bußgeldes sei. - Maßnahmen zur Eindämmung des Schadens für Betroffene
Wenig überraschend sind schadensmindernde Verhaltensweisen positiv einzubeziehen. Ausdrücklich wird angeführt, dass der Schadensnachweis grundsätzlich sehr schwer sei und deshalb auch die bloße Verletzung von Rechten und Freiheiten als Schaden anzusehen ist. - Im Vorfeld ergriffene technische und organisatorische Maßnahmen
Natürlich gilt es auch, die jeweils im Vorfeld ergriffenen Maßnahmen zur Verhinderung derartiger Verstöße zu bewerten. - Vergangene Verstöße des Verantwortlichen
Liegen wiederholte Verstöße gegen Datenschutzgesetze vor, ist dies ein Indikator für eine mögliche Schärfung des Bußgelds. Dabei gelten Verstöße gegen die DSGVO als schwerwiegender als Verstöße gegen altes, nationales Datenschutzrecht. Je näher die Verstöße beieinander liegen, desto schwerwiegender sind sie zu werten. - Kooperationsbereitschaft mit der Behörde
Wie auch hierzulande wird Kooperation mit der Behörde bußgeldmindernd berücksichtigt. Die reine Zusammenarbeit nach gesetzlichem Minimum ist jedoch nicht zu berücksichtigen, es sei denn, schon diese Erfüllung gesetzlicher Pflichten fürt direkt zu einer Minderung der Schadensschwere. Ergänzend wird erwähnt, dass auch nach nationalem Strafgesetzbuch eine Selbstanzeige mildernd berücksichtigt werden muss. - Kategorien der betroffenen Daten
Erschwerend wird gewertet, wenn besonders sensible Daten betroffen sind. - Art und Weise der Kenntniserlangung der Behörde
Strafmildernd wirkt es sich aus, wenn der Verantwortliche selbst Meldung erstattet hat. Strafschärfend muss jedoch das bewusste Verheimlichen eines Vorfalls gewertet werden. - Vorherige Maßnahmen der Behörde gegen den Verantwortlichen
Ist die Behörde bereits gegen den Verantwortlichen vorgegangen, muss hierin eine gewisse Warnfunktion gesehen werden. Verstößt der Verantwortliche erneut gegen datenschutzrechtliche Vorgaben, kann eine Schärfung in Betracht kommen. - Zertifizierung oder Verhaltensregeln
Durch die Anwendung genehmigter Verhaltensregeln nach Art. 40 DSGVO oder sonstige relevante Zertifizierungen nach Art. 42 DSGVO können Verantwortliche unter Umständen eine Minderung erreichen. Dies wird als Beweis guten Willens gesehen. - Einzelfallbetrachtung
Letzten Endes werden weitere Elemente berücksichtigt, die insbesondere mögliche Vorteile des Verantwortlichen aus der rechtswidrigen Verarbeitung betreffen. So stehen Gewinnbeschlagnahmungen oder Einpreisung von Nutzungsersparnissen (beispielsweise bei Verwendung billiger, aber nicht datenschutzkonformer Systeme) im Raum. Als Maßstab wird genannt, dass sich Datenschutzverstöße nicht „lohnen“ dürften. Ausdrücklich erwähnt die Aufsichtsbehörde jedoch, dass die für eine Gewinnbeschlagnahme erforderliche genaue Bezifferung des Gewinns oftmals unverhältnismäßig aufwändig sein dürfte.
4. Anpassung an den jeweiligen Höchstrahmen
Keinesfalls darf natürlich der in Art. 83 DSGVO genannte jeweilige Höchstrahmen überschritten werden. Dies gilt auch für mehrere, miteinander verwandte Verstöße, die untereinander so eng verbunden sind, dass sie als kohärente Handlung angesehen werden müssen.
5. Zahlungsfähigkeit
Überaus interessant ist der Hinweis, dass auf Antrag eines Unternehmens auch dessen Zahlungsfähigkeit als Kriterium berücksichtigt werden kann. Dies leitet die Behörde aus dem Grundsatz der Verhältnismäßigkeit ab und zieht Parallelen zum Wettbewerbsrecht. Hiernach dürften Geldbußen nicht dazu führen, den Wettbewerb dergestalt zu beeinflussen, dass Unternehmen in den Konkurs getrieben werden.
Allerdings gelte dies im Bereich des Datenschutzes nur eingeschränkt. Anders als das Wettbewebsrecht habe das Datenschutzrecht die Zielrichtung, die Rechte der Bürger zu schützen. Bei schweren Verstößen sei es somit durchaus möglich, auch den Konkurs eines Unternehmens infolge des Bußgeldes in Kauf zu nehmen.
Die Reduzierung nach diesem Kriterium erfolgt auf Antrag und bedarf objektiv nachvollziehbarer Beweise. Gefordert werden detaillierte Finanzdaten aus der Vergangenheit sowie Prognosen für die Zukunft. Zudem muss nachgewiesen werden, dass das Bußgeld zu einer Zahlungsunfähigkeit des Unternehmens und letztlich zur Abwicklung weit unter Wert führen würde.
Dabei ist ein direkter Kausalzusammenhang zwischen Bußgeld und drohender Abwicklung gefordert. Gerade nicht ausreichend ist eine generelle Schieflage des Unternehmens, da sonst eine Bevorzugung von schlecht auf den Markt ausgerichteten Unternehmen gegenüber gut organisierten Marktteilnehmern gefürchtet wird.
Vergleich zum deutschen Modell
Im Vergleich zum deutschen Berechungsmodell zeigt sich, dass die dänische Behörde sehr viel kleinteiliger vorgeht. So wird bereits bei der Bemessung des Grundbetrages deutlich differenzierter vorgegangen und sich nicht lediglich am Vorjahresumsatz des Unternehmens orientiert. Gerade dieser Faktor sorgt vielerorts für Kritik an dem Modell der DSK. Interessant sind auch die ausdrücklichen Erleichterungen für KMU sowie die Berücksichtigung von Härtefällen. Ansonsten zeigen sich viele Gemeinsamkeiten, die grundlegenden Kriterien stimmen insoweit überein.
Beiden Modellen gemein ist die Orientierung an Effektivität und Abschreckung. Ob dies mit dem ebenfalls verfolgten Grundsatz der Verhältnismäßigkeit vereinbar ist, wird sich zeigen. Zumindest in Deutschland hat das Bußgeldverfahren gegen 1&1 gezeigt, dass hinsichtlich einer tauglichen Linie für die verhältnismäßige Bemessung von Bußgeldern noch viel Arbeit und Hirnschmalz erforderlich sein wird.