Auf dieser Seite
    • Auf dieser Seite

    28. Oktober 2019

    Konzept zur DSGVO-Bussgeldzumessung gegen Unternehmen

    Modell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bussgeldzumessung in Verfahren gegen Unternehmen

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) hat Ende Oktober 2019 ein fünfstufiges Verfahren zur Berechnung von Bußgeldern gegen Unternehmen vorgestellt („Modell“), um Verstöße gegen die Datenschutzgrundverordnung („DSGVO") zu ahnden.

    Die Verhängung von Bußgeldern in Deutschland war bis dahin wenig abschreckend. Die deutschen Aufsichtsbehörden waren in der Vergangenheit im Gegensatz zu ihren europäischen Kollegen nicht dafür bekannt, bei Datenschutzverstößen hohe Bußgelder zu verhängen. Das wird sich jetzt ändern. Das Modell gibt den deutschen Aufsichtsbehörden eine einheitliche Grundlage für die Verhängung von Bußgeldern bei Datenschutzverletzungen. Es ist so konzipiert, dass es (i) die Größe eines Unternehmens (d.h. seinen Jahresumsatz) und (ii) die Schwere der Tatumstände berücksichtigt. Durch die gezielte Verknüpfung der Bußgeldbestimmung mit dem tatsächlichen Jahresumsatz des betroffenen Unternehmens werden die Bußgelder im Vergleich zur Vergangenheit erheblich steigen. Große Unternehmen müssen dann auch bei kleineren Delikten mit höheren Bußgeldern rechnen.

    1. Anwendung und Ziel des Modells

    Im Rahmen der DSGVO können die nationalen Datenschutzbehörden Verstöße gegen die DSGVO mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten jährlichen Umsatzes eines Unternehmens ahnden. Ziel des Modells ist es, einheitliche Standards für die Festsetzung dieser Geldbußen durch deutsche Behörden zu gewährleisten. Damit soll die Wirksamkeit und Verhältnismäßigkeit einer Geldstrafe (in Bezug auf die Größe des Unternehmens und die Schwere des Verstoßes) gewährleistet und eine ausreichend abschreckende Wirkung erzielt werden.

    Das Modell gilt weder für natürliche Personen, die in ihrer privaten (nicht gewerblichen) Eigenschaft handeln, noch für gemeinnützige Vereinigungen oder für grenzüberschreitende Angelegenheiten. Auch deutsche Gerichte sind daran nicht gebunden. Sobald eine endgültige europäische Richtlinie zur Berechnung von Bußgeldern vorliegt, wird diese das deutsche Modell ablösen. In der Zwischenzeit könnten aber auch die deutschen Aufsichtsbehörden das Modell ändern, erweitern oder widerrufen.

    2. Die DSK

    Die DSK bietet ein Forum für die 18 unabhängigen deutschen Datenschutzaufsichtsbehörden, die an einer einheitlichen Auslegung und Anwendung des nationalen und europäischen Datenschutzrechts arbeiten. Die Ergebnisse dieser Konsultationen sind zwar formell nicht verbindlich, drücken aber das Verständnis der deutschen Behörden für die einschlägigen Vorschriften aus. Die administrative Durchsetzung der DSGVO in Deutschland basiert weitgehend auf diesem Verständnis. Es ist davon auszugehen, dass die deutschen Aufsichtsbehörden dieses Modell in Zukunft ihrer Bußgeldpraxis zugrunden legen werden.

    3. Berechnung der Bußgelder in fünf Schritten:

    Schritt 1: Kategorisierung des betroffenen Unternehmens nach Größenklassen anhand seines jährlichen Jahresumsatzes.

    Schritt 2: Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe in die das betroffene Unternehmen eingeordnet wurde.

    Schritt 3: Ermittlung des wirtschaftlichen Grundwertes des Unternehmens: Für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde (Schritt 2), durch 360 (Tage) geteilt.

    Schritt 4: Multiplikation des Grundwertes abhängig vom Schweregrad der Tat: Hierfür werden gemäß der nachstehenden Tabelle 4 unter Berücksichtigung der Umstände des Einzelfalls anhand des Kriterienkatalogs des Art. 83 Abs. 2 DSGVO der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt, mit dem der Grundwert multipliziert wird. Berücksichtigt werden hierbei bspw. Vorsätzlichkeit oder Fahrlässigkeit, getroffenen Maßnahmen zur Milderung der Auswirkungen des Verstoßes, aber auch die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde.

    Schritt 5: Anpassung des Grundwertes anhand aller sonstigen – im vorherigen Schritt noch nicht berücksichtigten – für und gegen den Betroffenen sprechenden Umstände: Hierzu zählen z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens. Dies wird für Unternehmen das schwierigste Kriterium sein, da es von den Umständen des Einzelfalls abhängt.

    Hier gelangen Sie zu der detaillierten Berechnung der Bußgelder und der gesamten PDF-Version: Konzept zur DSGVO-Bussgeldzumessung gegen Unternehmen

    Rechtsgebiete und Gruppen Datenschutz & Cyber-Sicherheit
    Hot Topics DSGVO
    Call To Action Arrow Image

    Newsletter-Anmeldung

    Wählen Sie aus unserem Angebot Ihre Interessen aus!

    Jetzt abonnieren
    Jetzt abonnieren

    Related Insights

    Informationstechnologie

    EDPB betont Wichtigkeit freier Zustimmung bei „Pay or Okay” Modellen

    18. April 2024
    Briefing

    von mehreren Autoren

    Klicken Sie hier für Details
    Technology, Media & Communications

    IAB Transparency and Consent Framework muss nachgebessert werden

    8. März 2024

    von Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Klicken Sie hier für Details
    Informationstechnologie

    Analyse des Durchbruchs beim Trilog des AI Act

    11. Dezember 2023
    Briefing

    von mehreren Autoren

    Klicken Sie hier für Details

    © Taylor Wessing