Sie sind hier: Startseite / Rechtsnews

DSK-Konzept für Datenschutzbußgeldberechnung

Mindestgeldbuße von durchschnittlich 137,5 Mio. € für DAX-Konzerne bei Datenschutzverstößen?

 

Die Praxis der Datenschutzaufsichtsbehörden war hinsichtlich der verhängten Bußgelder sehr uneinheitlich, so dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz oder DSK) im Sommer 2019 eine einheitliche Richtlinie für die Berechnung der Höhe von Geldbußen gegen Unternehmen beschloss und am 16.10.2019 veröffentlichte.

Die Richtlinie finden Sie bei der DSK oder hier.

Das Konzept ähnelt der Geldstrafe nach dem deutschen Strafgesetzbuch (StGB). Dazu wird aus dem Jahresumsatz des Unternehmens ein Tagessatz bestimmt und nach der Schwere des Verstoßes mit einem Faktor von 1 bis 6 oder sogar 12 multipliziert, bei besonders schweren Verstößen auch mit einem höheren Faktor. Das Mindestbußgeld beträgt damit 1/360 des Jahresumsatzes.

Was hat das für praktische Konsequenzen für einen rechnerisches DS-GVO-Mindestbußgeld? Der durchschnittliche Umsatz der DAX-Konzerne betrug zuletzt ca. 49,5 Mrd. € (Stand: 2017, Quelle: de.statista.com/statistik/daten/studie/75495/umfrage/umsaetze-der-dax-konzerne/). Der durchschnittliche Tagessatz läge demnach bei 137,5 Mio. €.

1. Hintergrund

Nach Art. 83 der Datenschutz-Grundverordnung (DS-GVO) sind Verstöße gegen die DS-GVO bußgeldbewehrt und zwar in Höhe von bis zu 4 % des weltweiten Umsatzes eines Wirtschaftsunternehmens. Nach Art. 83 Abs. 2 DS-GVO ist bei der Höhe des Bußgeldes die Schwere des Verstoßes nach verschiedenen Kriterien zu bestimmen. Formelle Verstöße nach Art. 83 Abs. 4 DS-GVO haben dabei ein Höchstbußgeld von 2 % des Umsatzes, materielle Verstöße nach § 83 Abs. 5, 6 DS-GVO einen doppelt so hohen Rahmen bis 4 % des Umsatzes.

2. Konzept

Die Richtlinie bezieht sich nur auf Verstöße durch Unternehmen. Das Bußgeld wird in zwei Stufen bestimmt:
Zuerst wird ein Tagessatz bestimmt und sodann dieser Grundwert mit einem Faktor multipliziert, der von der Schwere des Datenschutzverstoßes anhängt.

a) Tagessatz

Das Konzept ordnet zur Bestimmung es Tagessatzes Unternehmen zuerst nach den Unternehmensklassen Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Großunternehmen und sodann nach ihrem weltweiten Konzernumsatz in Unterklassen ein.

Dabei werden pauschale Umsatzgruppen mit einheitlichem Tagessatz gebildet, beginnend mit einem Tagessatz von 972,-- € für Kleinstunternehmen bis zu einem Umsatz von 700.000,-- € bis hin zu einem Tagessatz von 1,25 Mio.€ für „Großunternehmen“ mit einem Jahresumsatz von 400 bis 500 Mio. €. Bei größeren Unternehmen ist dagegen der tatsächliche Jahresumsatz durch 360 zur Bestimmung des Tagessatzes zu teilen.

b) Faktor

Als nächstes wird anhand der konkreten tatbezogenen Umstände des Einzelfalls (Art. 83 Abs. 2 S. 2 DS-GVO) des Schweregrades des Datenschutzverstoßes in leicht, mittel, schwer oder sehr schwer Fälle vorgenommen und diesen Verstoßen getrennt für formelle (Art. 83 Abs. 4 DS-GVO) und materielle (Art. 83 Abs. 5, 6 DS-GVO) Verstöße ein Faktor zugeordnet.

c) Gesamtbußgeld

Das Bußgeld wird dann durch die Multiplikation des Faktors mit dem Tagessatz errechnet.

Ein mittelschwerer Verstoß gegen eine materielle Pflicht durch ein Unternehmen mit einem Jahresumsatz von 20 Mio. € würde damit ein Bußgeld von 250.000,-- € bis 500.000,-- € (Tagessatz von 62.500,-- € x Faktor 4 bis 8) ergeben.

Der gleiche Verstoß durch ein durchschnittliches DAX-Unternehmen ergäbe ein Bußgeld von 550 Mio. € bis 1,1 Mrd. € (Tagesumsatz von ca. 137,5 Mio. € x Multiplikator 4 bis 8).

3. Erste Bewertung

Eine Vereinheitlichung und Transparenz der Bußgeldpraxis ist zu begrüßen. Die mit dem Umsatz des beteiligten Unternehmens schnell extrem steigenden Bußgeldhöhen erscheinen jedoch diskussionswürdig. Dieses Thema werden wir für Sie weiterverfolgen...