Mit Wirksamwerden der DS-GVO sind neue Regeln für die Auferlegung von Bußgeldern in Kraft getreten. Nicht zuletzt durch diese deutlich über dem bisherigen Bußgeldrahmen liegenden Regeln, ist das Thema Datenschutz in den Unternehmen merklich hochpriorisiert worden. Gut anderthalb Jahre nach Inkrafttreten der Regelungen soll im Folgenden ein Blick auf die bisherige Behördenpraxis national und darüber hinaus ein Blick ins EU-Ausland geworfen werden.
Vor der DS-GVO bewegten sich mögliche Bußgelder zwischen 50.000 € und 300.000 € (vgl. § 43 Abs. 3 Satz 1 BDSG aF). Das TKG sah (und sieht) bei Verstößen gegen die dortigen DS-Vorschriften ein Bußgeld von 300.000 € vor.
Zentrale Norm für die Verhängung von Bußgeldern ist nun Art. 83 DS-GVO, flankiert werden die Vorgaben der DS-GVO durch die §§ 41, 43 BDSG auf nationaler Ebene.
DS-GVO-Regeln im Einzelnen
Art. 83 Abs. 1 DS-GVO bestimmt, dass auferlegte Bußgelder “in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein müssen. Bußgelder können gem. Art. 83 Abs. 2 Satz 1 DS-GVO „zusätzlich oder anstelle“ anderer Maßnahmen (wie z. B. Warnungen, Verwarnungen, Anweisungen, Verarbeitungsverbote i. S. d. Art. 58 Abs. 2 DS-GVO) verhängt werden.
Bei der Höhe der Bußgelder sind unter anderem folgende Aspekte zu berücksichtigen (vgl. dazu Art. 83 Abs. 2 DS-GVO):
- Die Art, Schwere und Dauer des Verstoßes
- Die Anzahl der Betroffenen
- Das Ausmaß eines gegebenenfalls erlittenen Schadens auf Seiten des Betroffenen
- Vorsätzlichkeit oder Fahrlässigkeit
- Ergriffene mitigierende Maßnahmen
- Etwaige (einschlägige) frühere Verstöße des Verantwortlichen
- Das Verhalten des Verantwortlichen bei der Zusammenarbeit mit den Aufsichtsbehörden
- Sonstige erschwerende oder mildernde Umstände
Ferner werden die Verstöße in zwei Bußgeldkategorien eingeordnet:
So beinhaltet Art. 83 Abs. 4 DS-GVO Bußgelder in Höhe von bis zu 10 Mio. € oder soweit es sich um ein Unternehmen handelt, „bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ für Verstöße unter anderem gegen grundsätzliche Plichten von Verantwortlichen und Auftragsverarbeitern sowie Pflichten von Zertifizierungs- und Überwachungsstellen. Dabei handelt es sich um formelle (so die DSK, Bußgeldkonzept, S. 8) beziehungsweise einfache DS-GVO-Verstöße.
Bußgelder in Höhe von bis zu 20 Mio. € oder wiederum im Falle eines Unternehmens bis 4 % des weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahres sollen gem. Art. 83 Abs. 5 DS-GVO verhängt werden, soweit es sich um Verstöße gegen grundsätzliche Vorgaben für die Verarbeitung personenbezogene Daten selbst, also materielle (so die DSK, Bußgeldkonzept, S. 8) oder besser qualifizierte Verstöße, handelt wie z. B. Verstöße gegen die (rechtliche) Grundlage der Datenverarbeitung, die Gewährleistung von Betroffenenrechten und hinreichende Garantien bei einer Drittstaatenübermittlung.
Konkretisierung des Bußgeldrahmens
Da bis auf die Obergrenze der in Frage kommenden Bußgelder, die DS-GVO wenig konkrete Vorgaben bezüglich der Zumessung der Bußgelder enthält, hat die Datenschutzkonferenz (DSK) Ende 2019 eine Handreichung veröffentlicht (Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen (im Folgenden und zuvor Bußgeldkonzept), Stand: 14.10.2019), im Rahmen derer beschrieben wird, wie die Behörden bei der Bußgeldzumessung verfahren wollen.
Einstieg in die Bußgeldzumessung ist zunächst die Kategorisierung des jeweiligen Unternehmens in Kleinstunternehmen, kleine Unternehmen, mittlere Unternehmen und Großunternehmen nach Umsatz. Angefangen bis 2 Mio. € Jahresumsatz (Kleinstunternehmen), 2-10 Mio. € (kleine Unternehmen), 10 bis 50 Mio. € (mittlere Unternehmen) ist bei einem Jahresumsatz > 50 Mio. € ein Großunternehmen anzunehmen. Dabei hält sich die DSK an die Empfehlung der EU-Kommission aus dem Jahr 2003 (2003/361/EG).
Innerhalb dieser Kategorisierung nimmt das DSK-Papier weitere Unterteilungen vor. Kleinste und kleine Unternehmen werden nach Umsatz noch einmal unterteilt.
| Kleinstunternehmen
Jahresumsatz bis 2 Mio. € |
Kleine Unternehmen
Jahresumsatz zwischen |
Mittlere Unternehmen
Jahresumsatz zwischen |
Großunternehmen
Jahresumsatz größer |
| A.I: bis 700.000 € |
B.I: ab 2 Mio. bis 5 Mio. € |
C.I: ab 10 Mio. € bis 12,5 Mio. € |
D.I: ab 50 Mio. € bis 75 Mio. € |
| A.II: bis 1,4 Mio. € |
B.II: bis 7,5 Mio. € |
C.II: bis 15 Mio. € |
D.II: bis 100 Mio. € |
| A.III: bis 2 Mio. € |
B.III: bis 10 Mio. € |
C.III: bis 20 Mio. € |
D.III: bis 200 Mio. € |
|
– |
– |
C.IV: bis 25 Mio. € |
D.IV: bis 300 Mio. € |
|
– |
– |
C.V: bis 30 Mio. € |
D.V: bis 400 Mio. € |
|
– |
– |
C.VI: bis 40 Mio. € |
D.VI: bis 500 Mio. € |
|
– |
– |
C.VII: bis 50 Mio. € |
D.VII: ab 500 Mio. € |
(vgl. Tabelle 1, Bußgeldkonzept)
Ausgehend von dieser Einteilung wird der mittlere Jahresumsatz bestimmt. Dabei wird jeweils der Mittelwert der in den einzelnen Kategorien abgetragenen Umsatzspannen bestimmt (z. B. C.IV: Umsatz zwischen 20 Mio. und 25 Mio. € à mittlerer Jahresumsatz = 22,5 Mio. €). Eine Ausnahme wird bei Unternehmen der Kategorie D.VII gemacht (Jahresumsatz > 500 Mio. €): Hier wird der konkrete Jahresumsatz in Ansatz gebracht.
Aufsetzend hierauf wird der sogenannte „wirtschaftliche Grundwert“ ermittelt, indem der mittlere Jahresumsatz durch 360 (Tage) dividiert wird.
Dieser Grundwert wird dann in Abhängigkeit des Schweregrades der Verletzung (leicht, mittel, schwer, sehr schwer) mit einem konkreten Faktor multipliziert.
| Schweregrad der Tat | Faktor für formelle Verstöße i. S. d. Art. 83 Abs. 4 DS-GVO |
Faktor für materielle Verstöße i. S. d. Art. 83 Abs. 5, 6 DS-GVO |
| leicht | 1 – 2 | 1 – 4 |
| mittel | 1 – 4 | 4 – 8 |
| schwer | 4 – 6 | 8 – 12 |
| sehr schwer | 6 < | 12 < |
(vgl. Tabelle 4, Bußgeldkonzept)
Zusätzlich sind die sowohl erschwerenden als auch mildernden Umstände des Art. 83 Abs. 2 DS-GVO zu berücksichtigen (s. o.).
Bewertung
Das von der DSK vorgelegte Bußgeldkonzept ist ein Schritt zu mehr Transparenz bei der Bemessung von Bußgeldern aufgrund von Verstößen gegen die DS-GVO. Die Unternehmen sind nun in der Lage abzuschätzen, welche Bußgelder bestehen, beziehungsweise schlimmstenfalls auf sie zukommen können. Am Beispiel eines Kleinstunternehmens (mittlerer Jahresumsatz 350.000 €) kann ein Bußgeld zwischen 972 € (Faktor 1) und 11.664 € (Faktor 12) bei einem sehr schweren Verstoß liegen – weitere mildernde und erschwerende Umstände nicht inbegriffen. Ein mittleres Unternehmen mit 22,5 Mio. € (Kategorie C. IV) mittleren Jahresumsatz und einem Grundwert von 62.500 € liegt in einem Bereich von 62.500 und 750.000 €. Bei einem schweren Verstoß liegt das Bußgeld deutlich über dem bisherigen Rahmen von 300.000 €.
Für größere mittlere Unternehmen und für Großunternehmen dürften sich somit künftig unter Umständen deutlich höhere Bußgelder ergeben, als bisher – zumindest soweit die Verarbeitung personenbezogener Daten ein erheblicher Bestandteil der unternehmerischen Tätigkeit ist, also ein relevantes Ausmaß aufweist.
Die Einteilung von Verstößen in leicht, mittel, schwer und sehr schwer wird erst die Behördenpraxis zeigen, hierzu enthält das Bußgeldkonzept keine Bemessungskriterien.
Bisherige Bußgeldpraxis
Bei der – soweit bekanntgewordenen – Behördenpraxis ist der höhere Bußgeldrahmen deutlich zu bemerken (eine Übersicht und Beispiele gibt es hier). Die prominentesten Beispiele sind in Deutschland die Deutsche Wohnen SE (14,5 Mio. €) sowie 1&1 Telecom GmbH (9,5 Mio. €) gegenüber denen Bußgelder in Millionenhöhe verhängt wurden.
Deutschland liegt zur Zeit bei der Anzahl der verhängten Bußgelder im europäischen Vergleich auf Platz 2 (mit bislang 22 Verfahren), insgesamt haben deutsche Behörden Bußgelder in Höhe von gut 25 Mio. € verhängt (Platz 4 im EU-Umfeld).
Insgesamt haben bislang 10 Aufsichtsbehörden von aktuell insgesamt 27 (ohne UK) Behörden Bußgelder verhängt. Besondere Aktivitäten entfaltet aktuell die spanische Behörde die momentan 54 Bußgeldverfahren angestrengt hat. Die spanische Behörde war jedoch bereits vor der DS-GVO überdurchschnittlich aktiv.
Die mit Abstand höchsten Bußgelder wurden gegenüber der Fluggesellschaft British Airways (knapp 205 Mio. €) und der Hotel-Kette Marriott (rund 110 Mio. €) verhängt.
Bei den geahndeten Verstößen rangiert der Grund „unzureichende rechtliche Grundlage für die Verarbeitung“ mit insgesamt 78 Fällen vor dem Verstoß „unzureichende technische und organisatorische Maßnahmen (TOMs)“ mit 45 Fällen gefolgt von „Verarbeitung nicht konform mit den grundsätzlichen Prinzipien der DS-GVO“ (29) und „unzureichende Gewährleistung von Betroffenenrechten“ (20).
Blickt man auf die verhängten Bußgelder in Relation zum Verstoß, stehen die Bußgelder für unzureichende TOMs weit (knapp 333 Mio. €) vor den Bußgeldern wegen Verarbeitungen ohne Rechtsgrundlage (rund 109 Mio. €).
Fazit
Die bisherige Behördenpraxis zeigt, dass der erweiterte Bußgeldrahmen in der Regel zu eher höheren Bußgeldern führt. Interessant zu beobachten ist, dass die meisten Bußgeldverfahren mangels einer hinreichenden rechtlichen Grundlage für eine Datenverarbeitung (Art. 5 Abs. 1 Nr. 1 lit. a) i. V. m. Art. 6 DS-GVO) oder aufgrund nicht hinreichender technischer und organisatorischer Maßnahmen (TOMs) i. S. d. Art. 32 DS-GVO verhängt wurden.
Hier können aus unserer Sicht zwei Schlüsse gezogen werden:
Neben einer mit hinreichenden Ressourcen und Fachwissen ausgestatteten Datenschutzorganisation beziehungsweise entsprechender externer Unterstützung ist auch eine gut aufgestellte IT-Security-Abteilung essentiell, um Bußgelder zu vermeiden.
Das Zusammenspiel zwischen klassischem Datenschutz (rechtliche Anforderungen) und einer wirksamen Umsetzung von IT-Security-Maßnahmen (technische Abbildung der Anforderungen) sollte eng verzahnt werden.
So ist für die Unternehmen (wie bisher auch) unumgänglich, sämtliche Verarbeitungen personenbezogener Daten vor deren Beginn eingehend zu prüfen und zu dokumentieren. So sollte z. B. insbesondere die Interessenabwägung bei der Wahrnehmung eines berechtigten Interesses (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) vollumfänglich – aus der Sicht des Betroffenen – durchgeführt werden, entgegenstehende Interessen des Betroffenen sind zudem ausführlich zu prüfen. Auch die Einholung informierter Einwilligungen und deren Dokumentation sowie der Gewährleistung, dass deren Widerrufe einfach möglich und ebenfalls zuverlässig dokumentiert werden, stellen die Unternehmen nicht selten vor Herausforderungen.
Die Gewährleistung einer sicheren Verarbeitung personenbezogener Daten (i. S. d. Art. 32 DS-GVO) sollte ebenfalls von den Unternehmen nicht vernachlässigt werden. Ein unternehmensweites Assessment der zur Datenverarbeitung eingesetzten IT-Systeme stellt in der Praxis insbesondere in sogenannten „gewachsenen Strukturen“, also nach und nach erweiterten Systemen, ein nicht zu unterschätzendes Problem dar; dies nicht zuletzt bei der Implementierung einheitlicher Speicher- bzw. Löschroutinen. Kommen beim Betrieb oder der Wartung externe Dienstleister – gegebenenfalls mit Sitz außerhalb der EU – zum Einsatz, ist ein kohärentes Vendoren-Management inklusive vorangegangener Überzeugungsbildung unerlässlich.
Ein weiterer aus unserer Sicht nicht zu unterschätzender Aspekt ist zudem ein effizientes Meldefall-Management. So sieht § 43 Abs. 4 BDSG vor, dass eine Meldung einer Verletzung des Schutzes personenbezogener Daten i. S. d. Art. 33 DS-GVO in einem sich gegebenenfalls anschließenden Bußgeldverfahren nur mit Zustimmung gegen den Melder und nur mit dessen Zustimmung verwendet werden darf. Dies bedeutet, dass der gemeldete Sachverhalt in einem sich anschließenden Bußgeldverfahren durch die Aufsichtsbehörde nicht zugrunde gelegt werden darf, soweit der Meldende damit nicht einverstanden ist. Ist er es nicht, kann die Behörde aufgrund dessen kein Bußgeld verhängen (Ausfluss des Grundsatzes, dass sich niemand selbst belasten muss).
Neben den beschriebenen Maßnahmen zur Vermeidung von Bußgeldern kann somit auch ein strategisches Meldeverhalten zur Vermeidung von Bußgeldern führen – vorausgesetzt dem Verantwortlichen ist der Meldefall vor der Behörde bekannt, was wiederum auch ein wirksames Datenschutzmanagement erfordert.
Bei allem Gesagten darf jedoch auch ein Aspekt nicht unterschlagen werden: Trotz des erweiterten Bußgeldrahmens haben zumindest die deutschen Aufsichtsbehörden bereits zwar durchaus empfindliche Bußgelder verhängt, jedoch bilden Bußgelder in Millionenhöhe noch die Ausnahme. Die Kontrolldichte dürfte jedoch grundsätzlich durch den aufgestockten Personaletat z. B. der BfDI tendenziell zunehmen.
In unserem Datenschutz Talk mit Herrn Wrona haben wir uns auch nochmal über die sich gerade entwickelnde Bußgeldpraxis der deutschen Aufsichtsbehörden ausgetauscht.
Zum Autor:
Marc Schramm ist zugelassener Rechtsanwalt und arbeitet bei der migosens GmbH als Senior Consultant im Bereich Datenschutz. Sein Tätigkeitsschwerpunkt liegt im Bereich Telekommunikationsdatenschutzes. Hierzu gehören Fragestellungen, wie der Umgang mit Bestands- und Verkehrsdaten, der datenschutzkonforme Betrieb von Apps und Webseiten.
Vor seiner Tätigkeit bei der migosens GmbH war Marc Schramm u. a. als Rechtsanwalt in der Telekommunikationsbranche tätig.
