Dänisches Berechnungsmodell für Bußgelder veröffentlicht

News

Nachdem die DSK Ende 2019 ein Berechnungsmodell für Bußgelder veröffentlichte, zieht nun Dänemark nach. Die dänische Datenschutzaufsicht Datatilsynet hat unlängst das eigene Berechnungsmodell für Bußgelder für Verstöße nach der DSGVO veröffentlicht. Wir geben einen allgemeinen Überblick.

Berechnungsmodell dient der Transparenz

Nach wie vor sind drohende Bußgelder einer der wesentlichen und am leichtesten greifbaren Anreize für datenschutzkonformes Verhalten. Nur weniges rüttelt die datenschutzrechtliche Community so sehr auf wie neue, öffentlichkeitswirksame Bußgelder, sind sie doch einerseits Indikator für die Gewichtung interner Risikoabwägungen als auch für die aktuelle Spruchpraxis der Aufsichtsbehörden.

Nachdem die deutschen Aufsichtsbehörden bereits seit einer Weile nach den eigens aufgestellten Berechnungstabellen für Datenschutzverstöße vorgehen und hier nicht nur auf Kritik, sondern auch sanften Widerstand im gerichtlichen Verfahren stoßen, zieht nun der europäische Nachbar Dänemark nach und veröffentlicht eigene Kriterien.

Dänisches Bußgeld-Bemessungsmodell

In der bislang nur auf dänisch verfügbaren Leitlinie werden Grundsätze festgelegt, welche die Bemessung von Bußgeldern transparent gestalten und auf lange Sicht „standardisierte Geldbußen für bestimmte Verstöße“ ermöglichen soll. Ausdrücklich wird jedoch darauf hingewiesen, dass auch dieses Modell lediglich ein Arbeitsdokument darstellt und durch Diskussionen auf europäischer Ebene beeinflusst werden kann und wohl auch wird.

Konkrete Inhalte der Leitlinie

Die Leitlinie umfasst 23 Seiten und stellt recht breit und mit Beispielen garniert dar, wie die Bemessung eines Bußgeldes konkret erfolgen wird. Wir bemühen uns, im Folgenden einen übersichtlichen Einblick in den Prozess zu verschaffen.

Im Wesentlichen erfolgt die Bemessung des Bußgeldes in  Schritten:

  1. Ermittlung des Grundbetrages
  2. Anpassung des Grundbetrages anhand des konkreten Verstoßes
  3. Erschwerende oder mildernde Elemente
  4. Anpassung an den jeweiligen Höchstrahmen
  5. Berücksichtigung der Zahlungsfähigkeit

Jeder dieser Punkte wird im Berechnungsmodell mal mehr, mal weniger detailliert beschrieben.

1. Grundbetrag

Der jeweilige Grundbetrag richtet sich nach der Art des jeweiligen Verstoßes. Es wird dabei zwischen sechs einzelnen Kategorien differenziert, wovon die Kategorien 1 – 3 aus dem Bußgeldkatalog des Art. 83 Abs. 4 DSGVO und 4 – 6 aus dem des Art. 83 Abs. 5 DSGVO entnommen sind.

Für jede dieser Kategorien wird zwischen leichten, mittleren und schweren Verstößen differenziert. Daraus ergibt sich folgende Aufteilung:

  • Kategorien 1 und 4 (leichter Verstoß), z.b.
    • Fehlende Benennung eines Vertreters in der EU
    • keine Zusammenarbeit mit der Aufsichtsbehörde
    • unterlassene Benachrichtigung der Empfänger bei Löschung
  • Kategorien 2 und 5 (mittlerer Verstoß), z.B.
    • Verstoß gegen Art. 11 DSGVO
    • Verstöße im Zusammenhang mit dem Verzeichnis der Verarbeitungstätigkeiten
    • Unterlassene Benachrichtigung von Betroffenen im Falle eines Vorfalls
    • Verstöße bei der Bennung eines Datenschutzbeauftragten
    • Verstöße gegen die Grundsätze des Art. 5 DSGVO
    • Verstöße gegen Art. 6 DSGVO
    • Verstöße gegen Transparenzpflichten nach den Artikeln 13 und 14 DSGVO.
    • Verstöße im Zusammenhang mit von Betroffenenrechten
  • Kategorien 3 und 6 (schwerer Verstoß), z.B.
    • Fehlende oder fehlerhafte Verträge gem. Art. 26 oder 28 DSGVO
    • Datenschutzverstöße, die die Daten von Kindern betreffen
    • Fehler bei technischen und organisatorischen Maßnahmen
    • Verstöße im Umgang mit Datenschutzverletzungen
    • Verstöße beim Drittlandtransfer
    • Verstöße betreffend besonders sensible Daten

Jeder dieser Kategorien wird ein entsprechender Grundbetrag zugewiesen, der sich zunächst prozentual am möglichen Höchstbußgeld berechnet.

Daraus ergeben sich Grundbeträge von

  • 5% der höchstmöglichen Sanktion (Kategorien 1 und 4)
  • 10% der höchstmöglichen Sanktion (Kategorien 2 und 5)
  • 20% der höchstmöglichen Sanktion (Kategorien 3 und )

Besondere Berücksichtigung von KMU

Interessant ist, dass auch den Bedürfnissen von kleinen und mittelständischen Unternehmen (KMU) Rechnung getragen wird. Hier ist eine Absenkung dieser Beträge für Kleinstunternehmen (0,4% des errechneten Grundbetrags), Kleinunternehmen (2%) und mittelständische Unternehmen (10%) vorgesehen.

Die Behörde betont, dass der Grundsatz der Verhältnismäßigkeit schon bei der Bemessung dieser Grenzen eingeflossen wäre und insbesondere die Abschreckungswirkung von Bedeutung sei.

Bei der Frage, ob für ein Unternehmen oben genannte Absenkungen in Frage kommen, ist jedoch nicht nur die Mitarbeiterzahl oder Größe des Unternehmens relevant, sondern auch der Umsatz und der Marktanteil. So kann ein höherer Rahmen für ein Unternehmen mit großem Marktanteil gerechtfertigt sein, weil aus dem Marktanteil im Einzelfall auch ein höheres Risiko für die Rechte und Freiheiten der Betroffenen entstehen könne.

2. Anpassung des Grundbetrags anhand des konkreten Verstoßes

Die Kriterien, anhand derer der ermittelte Betrag modifiziert wird, erinnert an die hiesigen Kriterien, die auch inhaltlich niemanden ernstlich überraschen dürften. Relevant sind nach der Leitlinie folgende Punkte:

  • Umfang im örtlichen Sinne
    Grenzüberschreitenden Sachverhalten wird per se ein höheres Risiko zugeschrieben, da hier oftmals die Rechtewahrnehmung von Betroffenen und die Zusammenarbeit der Behörden erschwert werden.
  • Bedeutung der Akteure und ihrer Tätigkeiten
    Von Relevanz ist auch, um welche Art von Betroffenen es sich handelt. Das Bußgeld soll beispielsweise nicht den Zweck verfolgen, den freien Wettbewerb oder politisches Engagement einzuschränken.
  • Verarbeitung im Kernbereich des Unternehmens
    Relevant ist überdies, ob die betroffene Datenverarbeitung einen Kernbereich der Tätigkeit des Unternehmens ausmacht oder es um Randerscheinungen geht.
  • Verfolgte Zwecke
    Die Zwecke der betroffenen Verarbeitung sind von erheblicher Bedeutung. So wird etwa dem Umstand, dass eine betroffene Verarbeitung einen sozialen Zweck verfolgte positiver gesehen als rein gewerbliche oder werbende Tätigkeit. Die Behörde nennt hier eine Verarbeitung zum Zwecke der Auszahlung einer Pension gegenüber einer Marketingaktivität als Beispiel.
  • Umfang des Verstoßes
    Zudem wird berücksichtigt, wie viele Betroffene es gibt. Dabei zählen sowohl tatsächlich betroffene als auch lediglich – etwa durch einen systembedingten Verstoß – potenziell Betroffene.
  • Ausmaß des Schadens
    Der eingetretene Schaden für die Betroffenen wird in Rechnung gebracht. Auch hier wird auf tatsächlichen und potenziellen Schaden abgestellt.
  • Dauer des Verstoßes
    Zuletzt ist relevant, wie lange der Vorfall andauerte und wie lange Kenntnis von ihm bestand, bevor Gegenmaßnahmen eingeleitet wurden.

3. Erschwerende oder mildernde Elemente

Nachdem die objektiven Elemente des Verstoßes erfasst wurden, werden nun einzelfallbezogene Fragen, insbesondere mit Blick auf das Verhalten des Verantwortlichen gestellt:

  • Vorsatz oder Fahrlässigkeit
    Als bußgelderhöhend wird das vorsätzliche Handeln angesehen. Dies kann bereits dadurch erwiesen sein, dass das Unternehmen gegen die ausdrücklichen Empfehlungen des Datenschutzbeauftragten handelt oder etwa ein IT-System trotz bekannten Mängeln aus Kostengründen einsetzt. Beispielhaft wird hier der Einsatz von zwei Systemen, von denen eines über eine Löschmöglichkeit verfügt, das andere aber nicht, genannt. Daraus ergäbe sich, dass die Relevanz einer Löschmöglichkeit bekannt gewesen sein muss. Eine Absenkung des Bußgeldes für fahrlässige Begehung ist ausdrücklich nicht vorgesehen, da diese bereits Grundvoraussetzung für die Verhängung eines Bußgeldes sei.
  • Maßnahmen zur Eindämmung des Schadens für Betroffene
    Wenig überraschend sind schadensmindernde Verhaltensweisen positiv einzubeziehen. Ausdrücklich wird angeführt, dass der Schadensnachweis grundsätzlich sehr schwer sei und deshalb auch die bloße Verletzung von Rechten und Freiheiten als Schaden anzusehen ist.
  • Im Vorfeld ergriffene technische und organisatorische Maßnahmen
    Natürlich gilt es auch, die jeweils im Vorfeld ergriffenen Maßnahmen zur Verhinderung derartiger Verstöße zu bewerten.
  • Vergangene Verstöße des Verantwortlichen
    Liegen wiederholte Verstöße gegen Datenschutzgesetze vor, ist dies ein Indikator für eine mögliche Schärfung des Bußgelds. Dabei gelten Verstöße gegen die DSGVO als schwerwiegender als Verstöße gegen altes, nationales Datenschutzrecht. Je näher die Verstöße beieinander liegen, desto schwerwiegender sind sie zu werten.
  • Kooperationsbereitschaft mit der Behörde
    Wie auch hierzulande wird Kooperation mit der Behörde bußgeldmindernd berücksichtigt. Die reine Zusammenarbeit nach gesetzlichem Minimum ist jedoch nicht zu berücksichtigen, es sei denn, schon diese Erfüllung gesetzlicher Pflichten fürt direkt zu einer Minderung der Schadensschwere. Ergänzend wird erwähnt, dass auch nach nationalem Strafgesetzbuch eine Selbstanzeige mildernd berücksichtigt werden muss.
  • Kategorien der betroffenen Daten
    Erschwerend wird gewertet, wenn besonders sensible Daten betroffen sind.
  • Art und Weise der Kenntniserlangung der Behörde
    Strafmildernd wirkt es sich aus, wenn der Verantwortliche selbst Meldung erstattet hat. Strafschärfend muss jedoch das bewusste Verheimlichen eines Vorfalls gewertet werden.
  • Vorherige Maßnahmen der Behörde gegen den Verantwortlichen
    Ist die Behörde bereits gegen den Verantwortlichen vorgegangen, muss hierin eine gewisse Warnfunktion gesehen werden. Verstößt der Verantwortliche erneut gegen datenschutzrechtliche Vorgaben, kann eine Schärfung in Betracht kommen.
  • Zertifizierung oder Verhaltensregeln
    Durch die Anwendung genehmigter Verhaltensregeln nach Art. 40 DSGVO oder sonstige relevante Zertifizierungen nach Art. 42 DSGVO können Verantwortliche unter Umständen eine Minderung erreichen. Dies wird als Beweis guten Willens gesehen.
  • Einzelfallbetrachtung
    Letzten Endes werden weitere Elemente berücksichtigt, die insbesondere mögliche Vorteile des Verantwortlichen aus der rechtswidrigen Verarbeitung betreffen. So stehen Gewinnbeschlagnahmungen oder Einpreisung von Nutzungsersparnissen (beispielsweise bei Verwendung billiger, aber nicht datenschutzkonformer Systeme) im Raum. Als Maßstab wird genannt, dass sich Datenschutzverstöße nicht „lohnen“ dürften. Ausdrücklich erwähnt die Aufsichtsbehörde jedoch, dass die für eine Gewinnbeschlagnahme erforderliche genaue Bezifferung des Gewinns oftmals unverhältnismäßig aufwändig sein dürfte.

4. Anpassung an den jeweiligen Höchstrahmen

Keinesfalls darf natürlich der in Art. 83 DSGVO genannte jeweilige Höchstrahmen überschritten werden. Dies gilt auch für mehrere, miteinander verwandte Verstöße, die untereinander so eng verbunden sind, dass sie als kohärente Handlung angesehen werden müssen.

5. Zahlungsfähigkeit

Überaus interessant ist der Hinweis, dass auf Antrag eines Unternehmens auch dessen Zahlungsfähigkeit als Kriterium berücksichtigt werden kann. Dies leitet die Behörde aus dem Grundsatz der Verhältnismäßigkeit ab und zieht Parallelen zum Wettbewerbsrecht. Hiernach dürften Geldbußen nicht dazu führen, den Wettbewerb dergestalt zu beeinflussen, dass Unternehmen in den Konkurs getrieben werden.

Allerdings gelte dies im Bereich des Datenschutzes nur eingeschränkt. Anders als das Wettbewebsrecht habe das Datenschutzrecht die Zielrichtung, die Rechte der Bürger zu schützen. Bei schweren Verstößen sei es somit durchaus möglich, auch den Konkurs eines Unternehmens infolge des Bußgeldes in Kauf zu nehmen.

Die Reduzierung nach diesem Kriterium erfolgt auf Antrag und bedarf objektiv nachvollziehbarer Beweise. Gefordert werden detaillierte Finanzdaten aus der Vergangenheit sowie Prognosen für die Zukunft. Zudem muss nachgewiesen werden, dass das Bußgeld zu einer Zahlungsunfähigkeit des Unternehmens und letztlich zur Abwicklung weit unter Wert führen würde.

Dabei ist ein direkter Kausalzusammenhang zwischen Bußgeld und drohender Abwicklung gefordert. Gerade nicht ausreichend ist eine generelle Schieflage des Unternehmens, da sonst eine Bevorzugung von schlecht auf den Markt ausgerichteten Unternehmen gegenüber gut organisierten Marktteilnehmern gefürchtet wird.

Vergleich zum deutschen Modell

Im Vergleich zum deutschen Berechungsmodell  zeigt sich, dass die dänische Behörde sehr viel kleinteiliger vorgeht. So wird bereits bei der Bemessung des Grundbetrages deutlich differenzierter vorgegangen und sich nicht lediglich am Vorjahresumsatz des Unternehmens orientiert. Gerade dieser Faktor sorgt vielerorts für Kritik an dem Modell der DSK. Interessant sind auch die ausdrücklichen Erleichterungen für KMU sowie die Berücksichtigung von Härtefällen. Ansonsten zeigen sich viele Gemeinsamkeiten, die grundlegenden Kriterien stimmen insoweit überein.

Beiden Modellen gemein ist die Orientierung an Effektivität und Abschreckung. Ob dies mit dem ebenfalls verfolgten Grundsatz der Verhältnismäßigkeit vereinbar ist, wird sich zeigen. Zumindest in Deutschland hat das Bußgeldverfahren gegen 1&1 gezeigt, dass hinsichtlich einer tauglichen Linie für die verhältnismäßige Bemessung von Bußgeldern noch viel Arbeit und Hirnschmalz erforderlich sein wird.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.