Datenschutzbehörden haben den neuen, offiziellen Bußgeldkatalog vorgestellt. Nach diesem Berechnungsmodell werden schon bald Bußgelder in zweistelliger Millionenhöhe in Deutschland zur Realität gehören. TÜViT hat einen umfassenden Blick in die offizielle Berechnungsgrundlage der Behörden geworfen.
In der „Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder", haben sich die Datenschutzexperten zu datenschutzrechtlichen Fragen ausgetauscht und ein neues einheitliches Berechnungsmodell für Datenschutzverstöße beschlossen. Die Berechnung der Bußgeldhöhe soll anhand des Berechnungsmodells nun sehr übersichtlich und schematisch möglich sein. In einigen Datenschutzbehörden soll das Berechnungsmodell bereits Anwendung finden. Dalia Kues, Sprecherin der Berliner Beauftragten für Datenschutz und Informationssicherheit, erklärte gegenüber der deutschen Presseagentur, man stehe zwar noch am Anfang, doch werde man Verstöße gegen die DSGVO in absehbarer Zeit in Millionenhöhe ahnden.
Das bei der Konferenz vom „Arbeitskreis Sanktionen" (kurz: „AK Sanktionen") vorgestellte Konzept zur Bußgeldbemessung, stieß bei den Anwesenden Datenschutzexperten auf reges Interesse, da es „im Gegensatz zu anderen Modellen eine systematische, transparente und nachvollziehbare Bußgeldbemessung", gewährleiste. Diese ist damit eine Antwort auf das Modell der französischen Datenschutzbehörde CNIL, die von deutschen Datenschutzexperten als zu wenig nachvollziehbar und zu sehr einzelfallbezogen angesehen wurde. Das vorgestellte Berechnungskonzept wurde auf der Konferenz mit 16 Stimmen und einer Enthaltung durch die Datenschutzexperten angenommen. Laut Konferenzprotokoll soll der „Arbeitskreis Sanktionen" nun „das Konzept unter Einbeziehung der damit gemachten praktischen Erfahrungen der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder weiterentwickeln."
Satte Aufschläge für Wiederholungstäter von bis zu 300%
Für Wiederholungstäter, gegen die in der Vergangenheit eine Strafe durch die Behörde verhängt wurde, drohen Aufschläge von bis zu 300%. Die Strafhöhe wird durch zahlreiche Faktoren bestimmt und beeinflusst. Eine intensive Kooperation mit den Behörden kann sich strafmildernd auswirken.
In die Berechnung des Bußgeldes fließen verschiedene Faktoren ein, die später in einem aufwendigen Verfahren quantifiziert werden. Der Bußgeldrahmen berechnet sich demnach wie folgt:
- Tagessatz
Zunächst wird der Tagesumsatz anhand des weltweit erzielten Jahresumsatzes des Unternehmens ermittelt.
- Schweregrad des Verstoßes
Der Tagessatz wird anschließend mit einem Faktor multipliziert, der anhand des Schweregrads des Verstoßes ermittelt wird. Bei einem leichten Verstoß liegt der Faktor zwischen 1 bis 4, wohingegen ein schwerer Verstoß einen Faktor zwischen 12 bis 14,4 bedeuten kann. Dabei handelt es sich beim Schweregrad um ein Punktesystem, welches senkend, gleichbleibend oder erhöhend wirkt. Maßgebliches Kriterium für die Ermittlung der Punktezahl ist unter anderem, die Anzahl der betroffenen Personen sowie das Ausmaß des erlittenen Schadens, aber auch die Dauer des Verstoßes.
- Grad des Verschuldens
Danach erfolgt die Ermittlung des Verschuldungsgrads. Der Verschuldungsgrad wird seinerseits durch zahlreiche Kriterien beeinflusst. Es findet eine prozentuale Anrechnung statt:
Bei unbewusster oder geringer Fahrlässigkeit, verringert sich die Summe um 25 Prozent. Bei normaler Fahrlässigkeit bleibt sie unverändert und bei vorsätzlichem Handeln erhöht sie sich um bis zu 25 oder 50 Prozent. Das Bußgeld erhöht sich um 50 Prozent, wenn sich das Unternehmen bereits in der Vergangenheit etwas zuschulden kommen lassen hat. Ein weiterer Verstoß hat einen Aufschlag von 150 Prozent zur Folge und bei jedem weiteren Verstoß ist mit einem Aufschlag von 300 Prozent zu rechnen.
In die Höhe des Bußgeldes fließen ebenso weitere ausschlaggebende Faktoren ein, wie beispielsweise die Kooperation mit der Behörde oder das rechtzeitige Ergreifen von effektiven Maßnahmen, um den Schaden zu mindern.
Andere europäische Staaten haben mit hohen Bußgeldern bereits von sich reden gemacht. So verhängte Frankreich ein sattes Bußgeld gegen Google i. H. v. 50 Millionen Euro. Auch Großbritannien hielt sich nicht zurück und verhängte ein Bußgeld gegen die amerikanische Hotelkette „Marriott“ von 110 Millionen Euro. Gegen die Fluggesellschaft British Airways ging Großbritannien noch härter ins Gericht. Die britische Fluggesellschaft wurde eine mit Rekordsumme von 204 Millionen Euro sanktioniert. Die deutschen Aufsichtsbehörden haben sich bislang bei der Verhängung von Bußgeldern moderat gezeigt und den möglichen Strafrahmen nicht ausgeschöpft. Die Bußgelder halten sich dabei im Rahmen von fünf- bis maximal sechsstelligen Summen.
Ein Vergleich: Die Höhe der Strafen im Vereinigtes Königreich, in Frankreich und Deutschland
Die Unternehmen in Deutschland wurden vergleichsweise mit deutlich milderen Strafen sanktioniert. Dies ist nicht Folge einer strengeren Anwendung der DSGVO durch andere europäische Staaten, sondern dem kräftigeren Vorjahresumsatz der bestraften Konzerne geschuldet.
Die Strafhöhe in Deutschland für Verstöße gegen die DSGVO fällt, im Vergleich zu den bekanntesten Sanktionen der französischen Aufsichtsbehörde CNIL gegen Google mit 50 Millionen Euro und der britischen Aufsichtsbehörde ICO gegen die Hotelkette Marriott (mit 110 Millionen Euro) bzw. British Airways (mit 204 Millionen Euro), deutlich milder aus. In Deutschland wurde bislang lediglich eine Höchststrafe von 200.000 Euro verhängt. Das bedeutet im Umkehrschluss aber nicht, dass die deutschen Aufsichtsbehörden vergleichsweise weniger streng sind. Nach Art. 83 Abs. 6 DSGVO können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Vorjahresumsatzes verhängt werden. Bei Unternehmen muss also die verhängte Strafhöhe immer ins Verhältnis zum gesamten weltweit erzielten Vorjahresumsatz gesetzt werden. Weltweit agierende Konzerne, wie Google, können selbstverständlich einen sehr hohen Jahresumsatz vorweisen. Logischerweise folgt daraus, dass Strafen gegen solche Konzerne deutlich kräftiger ausfallen im Gegensatz zu kleinen- oder mittelständischen Unternehmen.
Die Höhe der Strafen in anderen EU-Mitgliedsstaaten
Die höchste Strafe im Rest Europas wurde durch Bulgarien gegen die nationale Finanzbehörde ausgesprochen. Die Höhe der Strafen in anderen europäischen Ländern fallen, im Verhältnis zu der von Bulgarien verhängten Sanktion, deutlich niedriger aus und richten sich hauptsächlich gegen Unternehmen.
Die Höhe der Strafen in den restlichen EU-Ländern sind ebenfalls deutlich niedriger als in Großbritannien oder Frankreich. Diese befinden sich auf einem ähnlichen Niveau wie in Deutschland. Die höchste Sanktion, die in den restlichen EU-Ländern verzeichnet wurde, ist die Strafe Bulgariens gegen die nationale Finanzbehörde mit einem Betrag von 2,6 Millionen Euro. Bemerkenswert ist hier, dass in der Vergangenheit Sanktionen i. d. R. eher weniger gegen Behörden als gegen Unternehmen verhängt wurden. Die zweithöchste Strafe mit einer Summe von 644.780 Euro richtete sich in Polen gegen ein Unternehmen. Sämtliche Sanktionen, die in ihrer Höhe danach folgen, richteten sich gegen Unternehmen.
Europaweit liegt Deutschland bei den verhängten Strafen im Durchschnitt. Die vergleichsweise hohen Strafen die durch Frankreich und Großbritannien verhängt wurden, sind lediglich dem hohen weltweiten Vorjahresumsatz des jeweiligen Unternehmens geschuldet. Das bedeutet also nicht, dass die DSGVO in Frankreich oder Großbritannien eine strengere Anwendung erfährt, als in den restlichen europäischen Ländern. Die DSGVO wird vielmehr in sämtlichen europäischen Ländern einheitlich und auf demselben Niveau angewandt.
06.11.2019