Konzept der DSK – Modell zur Be­rech­nung von Bußgeldern

Sank­tio­nen und Buß­gel­der sind nor­ma­ler­wei­se ein schlech­ter Rat­ge­ber, um ge­set­zes­kon­form und com­pli­ant als Un­ter­neh­men zu agieren. An­de­rer­seits sind sie aber ein pro­ba­tes Mittel, um Un­ter­neh­men zur Ein­hal­tung von ge­setz­li­chen Vor­ga­ben zu bewegen. Und im Da­ten­schutz­recht geht es schließ­lich um unser aller Rechte: dem Recht auf Selbst­be­stim­mung und dem Per­sön­lich­keits­recht – kurzum um das „Recht auf Daten­schutz“.

Mit dem Gültig werden der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) am 25. Mai 2018 schlug gerade die ge­setz­li­che Vorgabe des Buß­geld­rah­mens – bis zu 20 Mio. Euro bzw. 4 % des welt­wei­ten Vor­jah­res­um­sat­zes (je nachdem was höher ist) – in Deutsch­land hohe Wellen. Im Ver­gleich zu anderen EU-Ländern waren in der Ver­gan­gen­heit die deut­schen Da­ten­schutz­auf­sichts­be­hör­den eher zu­rück­hal­tend mit Sank­tio­nen und der Höhe des Buß­gel­des. Sie waren auch nach dem gültig werden der DSGVO, im Ver­gleich zu anderen EU-Ländern, zurückhaltend.

Das erste (deut­sche) Bußgeld ver­häng­te der Lan­des­be­auf­trag­te für Daten­schutz und In­for­ma­ti­ons­frei­heit Baden-Wür­t­­te­m­­berg (LfDI) im No­vem­ber 2018. Mit einer Geld­bu­ße von 20.000 Euro gegen einen Social-Media-An­­bie­­ter, welches auf­grund kon­struk­ti­ver Zu­sam­men­ar­beit mit dem Un­ter­neh­men eher glimpf­lich aus­ge­fal­len ist https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/ .
Dagegen ver­häng­te im Oktober 2019 die ru­mä­ni­sche Auf­sichts­be­hör­de (ANSPDCP) ein Bußgeld i.H. v. 150.000 Euro wegen un­zu­rei­chen­der tech­ni­scher und or­ga­ni­sa­to­ri­scher Maß­nah­men zur Ge­währ­leis­tung der In­for­ma­ti­ons­si­cher­heit. Und die grie­chi­sche Auf­sichts­be­hör­de (HDPA) ver­häng­te gegen einen TK-Pro­­vi­­der 200.000 Euro auf­grund der Nicht­ein­hal­tung der all­ge­mei­nen Grund­sät­ze der Da­ten­ver­ar­bei­tung gemäß Artt. 21 und 25 DSGVO. Und die spa­ni­sche Auf­sichts­be­hör­de, AEPD, ver­häng­te ein Bußgeld in Höhe von 30.000 Euro wegen nicht kor­rek­ter Cookie-Kon­­­fi­­gu­ra­­ti­on auf der Fir­men­web­sei­te (17.10.2019; https://edpb.europa.eu/news/national-news/2019/spanish-data-protection-authority-fined-company-vueling-cookie-policy-used_de) . Um nur einige zu nennen.

Das derzeit letzte deut­sche Bußgeld i.H.v. 195 T€ ver­häng­te die Ber­li­ner Be­auf­trag­te für Daten­schutz und In­for­ma­ti­ons­frei­heit am 19.09.2019. Be­grün­dung: Un­zu­rei­chen­de Er­fül­lung der Rechte der be­trof­fe­nen Per­so­nen (Artt. 15, 17, 21 DSGVO) gegen De­li­very Hero https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf.

Sie sehen, die Buß­gel­der er­folg­ten nicht auf­grund Hacker- und Cyber-An­­grif­­fen, sondern auf­grund der Nicht-Ein­hal­­tung von ele­men­ta­ren Vor­ga­ben aus der DSGVO, welche bereits auf Basis des BDSG a. F. zu ge­währ­leis­ten waren.

Die Kon­fe­renz der un­ab­hän­gi­gen Da­ten­schutz­auf­sichts­be­hör­den des Bundes und der Länder (DSK) hat sich am 25.06.2019 nun auf ein Modell zur Be­rech­nung von Buß­gel­dern ver­stän­digt, welches ähnlich wie im Kar­tell­recht eine nach­voll­zieh­ba­re Buß­geld­pra­xis er­mög­li­chen soll.
In der dazu her­aus­ge­ge­be­nen Pres­se­mit­tei­lung teilt die DSK mit, dass der Entwurf „im We­sent­li­chen die Vor­ga­ben des Art. 83 DSGVO aus­ge­stal­te und auf Fort­ent­wick­lung aus­ge­legt ist.“ […] „Ziel des Kon­zep­tes ist, die Auf­sichts­be­hör­den für Daten­schutz eine ein­heit­li­che Methode für eine sys­te­ma­ti­sche, trans­pa­ren­te und nach­voll­zieh­ba­re Be­mes­sung von Geld­bu­ßen zur Ver­fü­gung zu stellen.“

Die Ver­öf­fent­li­chung des Kon­zep­tes er­folg­te jetzt, nachdem erste Ver­hand­lun­gen auf eu­ro­päi­scher Ebene zu diesem Thema statt­ge­fun­den haben, in denen die Ent­wurfs­fas­sung des Kon­zepts eine Rolle ge­spielt hat. Gemäß der DSGVO ist eine Har­mo­ni­sie­rung der Fest­set­zung von Geld­bu­ßen durch Leit­li­ni­en zu fördern (Art. 70 Abs. 1 lit. k DSGVO). Das Konzept ist ein erster Schritt in der Umsetzung.
Mit Ver­öf­fent­li­chung der vor­lie­gen­den Fassung des Kon­zep­tes zur Be­mes­sung von Geld­bu­ßen soll ein Beitrag zur Trans­pa­renz im Hin­blick auf die Durch­set­zung des Da­ten­schutz­rechts ge­leis­tet werden. Es soll Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter in die Lage ver­set­zen, die Ent­schei­dun­gen der Auf­sichts­be­hör­den nachzuvollziehen.

Am 14.10.2019 hat die DSK das Konzept zur Buß­geld­zu­mes­sung in Ver­fah­ren gegen Un­ter­neh­men ver­öf­fent­licht, welches hier https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf ab­ge­ru­fen werden kann.

Die DSK schlägt darin 5 Schrit­te für den Be­mes­sungs­maß­stab vor:

1. Zu­ord­nung des Un­ter­neh­mens einer Größenklasse.
2. Der mitt­le­re Jah­res­um­satz der Grö­ßen­klas­se wird bestimmt.
3. Ein wirt­schaft­li­cher Grund­wert wird ermittelt.
4. Dieser Grund­wert wird mittels eines von der Schwere der Tat­um­stän­de ab­hän­gi­gen Faktors multipliziert.
5. Ab­schlie­ßend wird der unter 4. Er­mit­tel­te Wert auf Basis wei­te­rer Um­stän­de angepasst.

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.

(Autorin: Regina Mühlich ist Ex­per­tin für Daten­schutz, Da­ten­­­schutz-Au­­di­­to­­ren, Sach­ver­stän­di­ge für Daten­schutz sowie Com­pli­ance Officer und verfügt über lang­jäh­ri­ge Er­fah­rung im Daten­schutz. Sie ist ge­frag­te Do­zen­ten und Re­fe­ren­tin; Vor­stands­mit­glied des Be­rufs­ver­ban­des für Datenschutz­beauftragte Deutsch­lands (BvD) e. V.)