Bußgelder für Datenschutzverstöße – wie berechnen sie sich künftig?

Bußgelder können für Betroffene eine echte Last darstellen. Ein Wunder ist das eigentlich nicht, schließlich handelt es sich dabei um Sanktionen, die zwar verhältnismäßig, aber auch wirksam und abschreckend sein sollen. Im Online-Handel spielen Bußgelder in vielen verschiedenen Bereichen eine Rolle, etwa bei der Verletzung von Verbraucherinteressen oder auch bei Verstößen gegen das Verpackungsgesetz. Ganz prominent aber: Datenschutzverstöße. Millionensummen im Bereich der Verstöße gegen DSGVO-Vorschriften sind keine Ausnahme. Wie teuer es werden kann, das hängt an den Vorschriften, aber auch an der Berechnungsgrundlage der Behörden. Hier wird es bald zu Änderungen kommen: Der Europäische Datenschutzausschuss (EDSA) bereitet Leitlinien vor, die EU-weit gelten sollen. 

So teuer können DSGVO-Bußgelder werden

Wie hoch ein Bußgeld in Sachen DSGVO ausfällt, das hängt von diversen Kriterien ab. Schon die DSGVO selbst legt fest, dass Sanktionen in jedem Fall wirksam und abschreckend, dabei aber auch verhältnismäßig sein müssen. Für die konkrete Ausgestaltung spielen nach Art. 83 Abs. 2 DSGVO diverse Eckpunkte eine Rolle, etwa die Schwere, Art und Dauer des Verstoßes, ob er vorsätzlich oder fahrlässig begangen wurde, ob so etwas häufiger vorkommt und inwiefern das Unternehmen mit den Behörden zusammengearbeitet hat. 

Die Obergrenze für Bußgelder bei Verstößen gegen die DSGVO liegt bei 20 Millionen Euro oder vier Prozent des gesamten im Vorjahr weltweit erzielten Umsatzes eines Unternehmens. Je nachdem, welcher Wert höher ist. So erklärt es sich, dass ein Bußgeld auch mal deutlich über dem Wert von 20 Millionen Euro liegt – wie etwa jenes von etwa 35 Millionen Euro, das ein großes Modehaus wegen der Überwachung der Mitarbeiter eines Servicecenters erhielt. 

Bisher: Bußgeldberechnungskonzept der Datenschutzkonferenz

2019 hat die Datenschutzkonferenz, ein Gremium der deutschen Datenschutzbehörden, ein Konzept zur Bemessung von Bußgeldern für Unternehmen veröffentlicht. Ziel des Konzepts ist eine nachvollziehbare, transparente und einzelfallgerechte Form der Zumessung von DSGVO-Bußgeldern aus Basis eines deutschlandweiten Standards. Die Berechnung erfolgt auf mehreren Stufen – Schritt für Schritt wird aus Unternehmensgröße und Jahresumsatz zunächst ein Tagessatz gebildet. Unter Berücksichtigung von Art und Schwere des Verstoßes wird dieser Tagessatz dann mit einem entsprechenden Faktor multipliziert, am Ende werden dann noch weitere individuelle Umstände in die Bewertung einbezogen. Das Konzept haben wir hier dargestellt. 

Das Konzept der DSK blieb aber nicht ohne Kritik, besonders der Fokus der Berechnung auf den Umsatz wurde mitunter als problematisch erachtet. In Zweifel gezogen wurde das Konzept auch durch eine Entscheidung des LG Bonn: Gegen den Telekommunikationsanbieter 1&1 war 2019 ein Bußgeld in Höhe von knapp 10 Millionen Euro verhängt worden. Das Landgericht Bonn reduzierte diese Summe auf etwa ein Zehntel und führte aus, dass das Konzept bei mittelschweren Verstößen zwar zu angemessenen Ergebnissen führen würde, bei schweren Verstößen umsatzschwacher Unternehmen sowie leichten Verstößen umsatzstarker Unternehmen aber keine sachgerechten Ergebnisse erziele (Urteil v. 11.11.2020, Az. 29 OWi 1/20). 

Zukünftig: Leitlinien des Europäischen Datenschutzausschusses

Ohnehin aber sieht es sehr danach aus, als würde das deutsche Konzept bald durch eine europäische Lösung verdrängt werden. Mitte Mai 2022 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien für die Berechnung von Bußgeldern nach der DSGVO veröffentlicht. Verbindlich sind diese für Gerichte und nationale Datenschutzbehörden zwar prinzipiell nicht, erfahrungsgemäß haben die Leitlinien des EDSA aber immer eine erhebliche Bedeutung für die nationalen Behörden – zumal es ausgesprochenes Ziel des EDSA ist, die Bußgeldpraxis in der EU mit den Leitlinien zu harmonisieren. Um die finale Fassung handelt es sich ebenfalls noch nicht, bis Ende Juni lief noch eine Konsultation. 

Und wie sieht es diesem Konzept zufolge aus? Werden die Verstöße teurer? Oder gar günstiger? Zunächst einmal soll die Kritik, die das Modell der DSK erhalten hat, bei den Leitlinien des EDSA berücksichtigt sein worden. Individuelle Umstände des Einzelfalles spielen in dem Konzept eine größere Rolle. Was für mehr Einzelfallgerechtigkeit sorgt, führt konsequenterweise aber auch dazu, dass sich Fragen wie „Wie hoch ist das Bußgeld denn nun, wenn ich meine Datenschutzerklärung vergesse?“ kaum mit konkreten Summen beantworten lassen. Die Bestimmung der Geldbuße sei keine mathematische Aufgabe, lässt der EDSA wissen. 

Wer ein etwaiges Bußgeldrisiko anhand der Leitlinien errechnen will, der muss fünf Schritte durchlaufen: 

1. Feststellung der Zahl der Verstöße
2. Ermittlung des Basisbetrags 
3. Prüfung mildernder und erschwerender Umstände des Falls
4. Festlegung der anwendbaren Obergrenze
5. Nachjustieren

Wenngleich diverse Basisbeträge offenbar etwas geringer ausfallen als nach dem Modell der DSK, sollten sich ersten Einschätzungen zufolge gerade umsatzstarke und große Unternehmen auf höhere Bußgeldsummen einstellen. 

Noch aber steht die finale Fassung aus und Änderungen am bisherigen Entwurf sind prinzipiell möglich. Zudem wird sich noch zeigen müssen, wie die Leitlinien in der Praxis durch die Behörden genutzt werden.