Zum Inhalt springen Zur Navigation springen
DSK: Modell zur Berechnung von DSGVO Bußgeldern

DSK: Modell zur Berechnung von DSGVO Bußgeldern

Artikel von Dr. Datenschutz·8. Oktober 2019

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 25.06.2019 auf ein neues Modell zur Berechnung von Bußgeldern verständigt, welches ähnlich wie im Kartellrecht eine nachvollziehbare Bußgeldpraxis ermöglichen soll. Dieser Beitrag geht auf die Hintergründe des neuen Modells zur Bußgeldberechnung ein.

Einigung auf ein Bußgeldmodell

Das neue Konzept zur Berechnung von Bußgeldern bei Verstößen der DSGVO wurde vom Arbeitskreis Sanktionen der DSK entwickelt und im Juni von der Berliner Datenschutzbehörde vorgestellt und erläutert. Es sei eine Reaktion auf das Modell der französischen Datenschutzbehörde CNIL, welches den deutschen Datenschützern zu wenig nachvollziehbar und zu sehr einzelfallbezogen war. Dieses Bußgeldmodell hingegen sei sehr komplex und umfasst eine Reihe von Rechenschritten. Zudem wurde der Entwurf für das Modell laut Protokoll der 2. Zwischenkonferenz der DSK auch in der Taskforce Fining des Europäischen Datenschutzausschuss (EDSA) vorgestellt. Dieser sei dort auf Interesse gestoßen, da er im Gegensatz zu anderen Modellen eine systematische, transparente und nachvollziehbare Bußgeldbemessung gewährleiste.

Ziel: Noch höhere Bußgelder?

Art. 83 DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des Vorjahresumsatzes vor – je nachdem, welcher Betrag höher ist. Dies sorgte bis zur Anwendbarkeit der DSGVO letzten Jahres noch für riesigen Aufschrei und großer Sorge. Nun wurden nach und nach mehrere DSGVO-Bußgelder verhängt. Jedoch fällt auf, dass die deutschen Datenschutzbehörden im Gegensatz zu anderen Behörden (wie z.B. CNIL) bzgl. der Höhe der Bußgelder sehr zurückhaltend sind. Dies soll sich nun ändern. Der Bundesdatenschutzbeauftragte Ulrich Kelber äußerte sich zu den zukünftigen Bußgeldern wie folgt:

„Die Zurückhaltung der Datenschutzbehörden wird natürlich auch immer weniger werden. […] es werde bald auch in Deutschland Bußgelder in „Millionenhöhe“ geben.“

Bislang keine Veröffentlichung des Konzepts

Derzeit weigern sich die Behörden noch, das Bußgeldkonzept offenzulegen. So äußerte sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) zu einem Antrag auf Zugang zu dem Konzept zur Bußgeldbemessung und begründete die Verweigerung der Herausgabe wie folgt:

„Wir haben wie angekündigt eine Abfrage bei allen anderen Aufsichtsbehörden initialisiert. Diese haben sich ausnahmslos – soweit sie geantwortet haben – gegen eine Herausgabe ausgesprochen. Die Befürchtungen betrafen vor allem die Erfolgsaussichten dieses Modell auf europäischer Ebene etablieren zu können. Eine vorzeitige Herausgabe könnte in dieser Hinsicht verheerend wirken. Als einschlägiger Ausnahmegrund kommt daher die Gefährdung der Beziehungen zum Bund und zu den Ländern gem. § 6 HmbTG in Betracht.“

Da im Laufe der nächsten Woche ein Treffen auf europäischer Ebene stattfindet, bei dem die deutschen Vertreter das Bußgeldmodell in den europäischen Prozess einbringen werden, wird jedoch davon ausgegangen, dass dann kein Zurückhaltungsgrund mehr bestehe und es daher nicht ausgeschlossen sei, dies dann auch durch offizielle Kanäle zu veröffentlichen.

Wie soll das neue Bußgeldmodell funktionieren?

Bisher ist nur wenig zu dem konkreten Konzept bekannt. Die bisher dazu veröffentlichten Informationen, stammen aus einem Bußgeldbescheid, der einem Unternehmen zugestellt worden ist und auf das Bußgeldmodell der DSK verweist. Aus diesem ließ sich ableiten, dass sich das Konzept stark am Umsatz des datenschutzrechtlichen Verantwortlichen orientiert. Zunächst bilden die Behörden einen sog. „Tagessatz“, indem sie den Umsatz des Vorjahres durch 360 teilen. Dieser Tagessatz wird dann je nach Schwere des Verstoßes mit einem Faktor multipliziert. Dieser Faktor liegt in der Regel zwischen 1 und 14, 4. Der Wert 14, 4 für besonders schwere Verstöße ist nicht willkürlich gewählt. Rechnerisch entspricht er genau den in Art. 83 Abs. 5 und Abs. 6 genannten vier Prozent des Vorjahresumsatzes. In einem Beitrag erläutert Tim Wybitul, Partner bei Latham & Watkins in Frankfurt, ausführlich die Berechnung von Bußgeldern im Einzelnen.

Datenschutzexperten äußerten sich kritisch

Kurz nach Bekanntwerden wurde von Datenschutzexperten vor allem die Höhe der Bußgelder kritisiert. Die flexible Berechnungsmethode führe gerade für Unternehmen und Konzerne mit hohen Umsätzen zu gravierenden Bußgeldrisiken. Aber gerade dies solle verhindern, dass umsatzstarke Konzerne oder Unternehmen Bußgelder mit einkalkulieren können. Fraglich sei hierbei, ob die dann verhängten Sanktionen nach dem neuen Bußgeldmodell noch verhältnismäßig im Sinne von Art. 83 Abs. 1 DSGVO sind. Verhältnismäßig bedeutet vor allem, dass Sanktionen tat- und schuldangemessen sein müssen. Die Zweifel an der Verhältnismäßigkeit sind durchaus berechtigt, da das Modell diese Anforderung nur teilweise berücksichtigt und sich größtenteils am Umsatz orientiert.

Man wartet gespannt auf die Enthüllung

In seinem Antwortschreiben fühlte sich der HmbBfDI daher dazu veranlasst, klarzustellen, dass die bisherigen Ausführungen zur Berechnung von Bußgeldern auf einer stark modifizierten Version des eigentlichen Modells beruhen würden, welches eine deutsche Aufsichtsbehörde angewandt hatte. Die Spekulationen, dass es ein bereits angewendetes einheitliches, aber geheimes Modell zur Berechnung der Bußgeldhöhe gibt, seien hingegen unzutreffend.

Es bleibt daher nichts anderes übrig, als bis zum 18.10.2019 abzuwarten, um zu erfahren, wie das Bußgeldmodell tatsächlich ausgestaltet ist. Klar scheint aber bereits zu sein, dass die Anwendung des Modells deutlich zu höheren Bußgeldern führt, als sie deutsche Behörden bislang verhängt haben. Mit einer großen Wahrscheinlichkeit werden sich die deutschen Gerichte wohl künftig mit dem Bußgeldmodell befassen müssen.

Update 16.10.2019

Wie versprochen hat die DSK heute ihr Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht. Es wird ausdrücklich darauf hingewiesen, dass Veränderungen und Ergänzungen des Konzepts sowie der Praxis der Aufsichtsbehörden aufgrund neuer Erkenntnisse aus den europaweiten Abstimmungen in der Zukunft möglich seien. Da auch dieses Konzept, um die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen, an den Umsatz eines Unternehmens bei der Bußgeldzumessung anknüpft, bleibt ein Kritikpunkt bestehen, der schon zur modifizierten Version des Konzepts geäußert wurde. Bei größeren Unternehmen wird das Konzept der DSK zur Bußgeldzumessung schnell zu überhöhten Bußgeldern führen, welche dann voraussichtlich vor Gericht landen und dort angepasst werden müssen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Grundsätzlich guter Artikel. Aber Sie waren wirklich mal schneller in der Darstellungen aktueller Entwicklungen! Das Bußgeldmodell ist schon seit Wochen raus und bereits mehrfach diskutiert worden. Vielleicht hätten Sie eher mal den internationalen Aspekt und die Diskussion betrachten sollen. Die Frage ist doch auch, ob das „Deutsche Modell“ sich überhaupt etablieren wird.

    • Vielen Dank für das Feedback. Wir freuen uns immer über konstruktive Kritik. In diesem Fall muss ich diese aber als unberechtigt zurückweisen. Wir haben uns letzten Monat bewusst dagegen entschieden über das Bußgeldmodell zu berichten. Alle Informationen, die dazu zu finden waren, stammten von Sekundärquellen, die sich wiederum auf einen Bußgeldbescheid bezogen, der uns nicht vorlag.

      Wie sich nun herausstellt, war diese Entscheidung richtig. Die bisherigen Berichte stellen ein von einer Aufsichtsbehörde angewandtes Modell dar, aber eben nicht das von der DSK verabschiedete Bußgeldmodell. Dieses wird entweder von der DSK oder vom HmbBfDI aufgrund einer IFG-Anfrage bis spätestens zum 18.10. herausgegeben, nachdem das Modell offiziell in das europäische Verfahren eingebracht wurde. Diese Information war vom Nachmittag des Vortags und zum Zeitpunkt der Veröffentlichung knapp 24h alt. Für die Leute, welche die vorherigen Vorgänge rund um das vermutliche Bußgeldmodell nicht auf anderen Blogs verfolgt haben, haben wir diese noch mal zusammengefasst, um die Aussagen des HmbBfDI in einen Kontext zu setzen.

  • Beim gegenständlichen Bußgeldmodell erfolgt zur Berechnung des Tagessatzes eine Division nicht durch 36 sondern durch 360 (so auch laut dem von Ihnen verlinkten Beitrag von Tim Wybitul und im Übrigen rein mathematisch, um bei der Multiplikation mit 14,4 auf rund 4% zu kommen).

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.