Datenschützer veröffentlichen Bußgeldkonzept

Die Datenschutzbehörden weigerten sich lange, ihr erarbeitetes Bußgeldkonzept zu veröffentlichen. Jetzt liegt das neue Konzept vor. Allerdings hilft es überhaupt nicht weiter, um das Risiko oder die Höhe von Bußgeldern auch nur im Ansatz einschätzen.

Über einen Monat dauerte es, bis die Datenschutzbehörden der Länder und des Bundes ihr „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ veröffentlichten.

Vor der Veröffentlichung berichteten bereits verschiedene Medien darüber. Außerdem kam es bereits zur Anwendung.

Berechnungsgrundlage für Bußgelder

Grundlage für die Erhebung von Bußgeldern ist der Umsatz eines Unternehmens im vorausgegangenen Geschäftsjahr. Dies ergibt sich zwingend aus Art. 83 Abs. 4 und 5 DSGVO.

Aus diesem Umsatz wird ein Tagessatz ermittelt (der Jahresumsatz wird also durch 360 geteilt).

Faktor 1 bis 14,4

Dieser Tagessatz wird mit einem Faktor von 1 bis – eine Obergrenze des Faktors nennt das „Konzept“ leider nicht – multipliziert. Bestimmend für den Faktor ist der Schweregrad der Tat und ob es sich um einen formellen Verstoß oder um einen materiellen Verstoß handelt.

Formelle Verstöße dürften also insbesondere Verstöße gegen Informationspflichten sein, materielle Verstöße dürften Verstöße bei der tatsächlichen Datenverarbeitung darstellen

Schweregrad der Tat Faktor für formelle Verstöße (Art. 83 Abs. 4 DSGVO) Faktor für materielle Verstöße (Art. 83 Abs. 5, 6 DSGVO)
Leicht 1 bis 2 1 bis 4
Mittel 2 bis 4 4 bis 8
Schwer 4 bis 6 8 bis 12
Sehr schwer 6 < 12 <

Wie die Behörden auf die einzelnen Faktoren kommen, bleibt unklart. Völlig unklar bleibt auch, was ein leichter, mittlerer, schwerer oder sehr schwerer Verstoß überhaupt sein soll.

Fragwürdig erscheint auch der Fakt, dass es keine Obergrenze für die Fakturierung gibt. Unklar bleibt auch, welche Tat überhaupt als leicht, mittel, schwer oder sehr schwer eingestuft wird.

Von einem Punktesystem zur Feststellung des jeweiligen Faktors, wie es in den ursprünglichen Meldungen vor einem Monat noch erwähnt wurde, findet sich in dem jetzt veröffentlichten Konzept nichts.

Weitere Faktoren

Der so ermittelte Bußgeldwert wird dann noch unter Berücksichtigung weiterer Faktoren gemindert oder erhöht – wie genau wird nicht erwähnt.

Das Konzept wirft mehrere Bedenken auf. Es stellt sich schon die Frage, ob es überhaupt fertig ist, insbesondere da zahlreiche Fragen ungeklärt sind.

Fazit

Unternehmen, die von einem Bußgeld nach DSGVO betroffen sind, sollten prüfen lassen, wie hoch die Erfolgsaussichten sind, dagegen gerichtlich vorzugehen. Bußgelder, die auf dem jetzt veröffentlichten Konzept erlassen werden, sollten unbedingt gerichtlich überprüft werden. Die Überprüfung durch die Gerichte ist die einzige Kontrolle, der die Datenschutzbehörden unterliegen. Unternehmen sollten daher ihre Rechte auch wahrnehmen und nicht alles akzeptieren, was von den Behörden als Meinung oder Rechtsauffassung geäußert wird.

Martin Rätze