Seit Einführung der DSGVO ist das Thema Bußgelder immer wieder in den Schlagzeilen. Viele Unternehmen verbinden die Novellierung vor allem auch mit dem „Damoklesschwert“ der möglichen Konsequenzen von Verstößen in Form von Bußgeldern. Trotz des gemäß Art. 83 DSGVO möglichen Bußgeldrahmens von bis zu 20 Millionen EUR oder von bis zu 4 % des Jahresumsatzes, haben die deutschen Datenschutzbehörden bislang eher geringere Bußgelder verhängt – im Gegensatz zu Behörden in anderen europäischen Ländern, die teilweise Strafen in Millionenhöhe aussprachen.

Wenngleich bei der Verhängung von Bußgeldern stets eine Beurteilung im Einzelfall erfolgt, so ist darauf hinzuweisen, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sich bereits am 25. Juni 2019 auf ein neues Modell zur Berechnung von Bußgeldern verständigt hat. Ziel des Modells ist eine systematische, transparente und nachvollziehbare Bußgeldbemessung. Seit dem 16. Oktober 2019 ist das Bußgeldmodell offiziell vorgestellt und für die deutschen Aufsichtsbehörden verbindlich. Wichtig zu wissen: es gilt nur für deutsche Aufsichtsbehörden. Weder Gerichte noch andere EU-Behörden sind an die Vorgaben des Berechnungsmodells gebunden.

Was ändert sich durch das Modell?

Fest steht beim Blick auf die Systematik des Modells: Es ist darauf ausgelegt, die sehr hohen Bußgeldrahmen der DSGVO bei schweren Verstößen auch voll auszuschöpfen. Selbst bei leichteren Verstößen können größeren Unternehmen Millionenbußgelder drohen. Ein wesentliches Element des „Strafenkatalogs“ besteht dabei darin, dass die Behörden zukünftig bei der Bemessung von Bußgeldern „Tagessätze“ bilden. Dabei wird der Umsatz des betroffenen Unternehmens aus dem Vorjahr als Ausgangspunkt genommen und durch 360 geteilt. Sodann wird der gebildete Tagessatz je nach Schwere des Verstoßes mit einem Faktor multipliziert. Dieser Faktor liegt in der Regel zwischen 1 und 14,4. Insoweit ist der letztgenannte Höchstfaktor keinesfalls willkürlich gewählt, denn er entspricht rechnerisch den 4 % des Vorjahresumsatzes, wie sie sich im Art. 83 DSGVO wiederfinden. Die Höhe des Faktors hängt von der Schwere der jeweiligen Tatumstände ab. Die Behörden haben sich mit Blick auf den Schweregrad der Tat auf eine 4-stufige Tabelle geeinigt mit den nachfolgenden Bewertungsmaßstäben:

  • Leicht
  • Mittel
  • Schwer
  • Sehr schwer

Ergebnis der oben genannten Methode ist dann ein Wert, der sodann mittels weiterer Kriterien angepasst werden kann. Hierbei handelt es sich um täterbezogene (Kriterienkatalog des Art. 83 abs. 2 DSGVO) und sonstige noch aus Sicht der Behörde zu berücksichtigende Umstände (z.B. lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens).

Ein bei großen konzernverbundenen Unternehmen im Zusammenhang mit der Thematik immer wieder fallender Begriff ist der der „wirtschaftlichen Einheit“ – sprich die Berechnung des sanktionsrelevanten Gesamtumsatzes erfolgt unter Berücksichtigung des weltweiten Konzernumsatzes. Ob die Behörden mit dieser Berechnungsmethode rechtlich auf der sicheren Seite sind, könnte zumindest fraglich sein. Denn Art. 83 DSGVO spricht jedenfalls seinem Wortlaut nach von „Unternehmen“ und nicht klarstellend von Konzernen. Gleichwohl ist auch insoweit aus Sicht der jeweiligen Geschäftsführung Vorsicht geboten, denn bislang fehlt es an Gerichtsentscheidungen zu dieser Auslegungsthematik.

Bei mehreren Verstößen dürfen Unternehmen zudem nicht auf die Bildung einer „rabattierten Gesamtstrafe“ hoffen. Bislang tendieren die Aufsichtsbehörden dazu, einzeln festgestellte Verstöße individuell nach dem Berechnungsmodell zu bewerten und die Beträge dann im Anschluss ohne Abschläge zusammenzurechnen. Ob das so haltbar ist, werden die Gerichte überprüfen müssen.

Ein Bußgeldmodell impliziert für Unternehmen eine gewisse Voraussehbarkeit mit Blick auf die Höhe von Bußgeldern bei bestimmten Verstößen. Doch die Behörden haben bei der Bemessung weiter Spielräume durch die ihnen offene Bewertung von Umständen und Folgen eines Datenschutzverstoßes. Auch ein Einpreisen ist wenig empfehlenswert. Zum einen, weil dies bei einem erneuten Verstoß sicher gravierende Auswirkungen auf die Strafzumessung der Behörde hätte. Zum anderen lässt die umsatzbasierte Berechnung Vorstand oder Geschäftsführung ohnehin keinen Handlungsspielraum, da die drohenden Strafen zu hoch sind, um diese einzupreisen.

Für Sie als Unternehmer sollte das Bußgeldmodell nochmals eine Erinnerung an das sein, was seit Einführung der DSGVO ohnehin von größter Wichtigkeit ist: Schließen Sie sämtliche Lücken und Schwachstellen, die im Zusammenhang mit der Umsetzung der DSGVO bei Ihnen im Haus ggf. noch existieren. Wenn Sie in diesem Zusammenhang oder mit Blick auf das Bußgeldmodell noch Fragen haben oder Hilfe benötigen, stehen wir Ihnen jederzeit gerne zur Verfügung.


Autor: Sebastian Keilholz, LL.M.