01 Nov
2019

Bußgeldbemessung: So gehen die Aufsichtsbehörden künftig vor – eine erste Übersicht

Am 16. Oktober veröffentlichten die deutschen Datenschutzaufsichtsbehörden ihren ersten Aufschlag zur Berechnung von Bußgeldern. Nachfolgend erhalten Sie einen ersten, schnellen Überblick; eine detaillierte Aufarbeitung muss noch erfolgen.

Der Hintergrund

Die DS-GVO sieht hohe Bußgelder vor. Es ist eine einfache Überlegung, dass ein Bußgeldrahmen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes eines Unternehmensverbunds mehr Spielräume für die Bemessung bietet, als der bisherige Bußgeldrahmen. Damit wird es aber auch schwieriger, das „richtige“ Bußgeld zu finden.

Die DS-GVO gibt in Art. 83 Abs. 2 DS-GVO eine Reihe von Kriterien für die Bemessung eines Bußgelds vor. Eine Befassung mit diesen Kriterien – auch unter Heranziehung der „Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679“ (WP 253) der Art.-29-Gruppe vom 03.10.2017 – wirft auch die Frage auf, ob diese Kriterien die Bemessung wirklich leichter machen. Daraus ergeben sich zwar Anhaltspunkte für die Bewertung, aber der eingangs angesprochene Spielraum ist immer noch recht umfassend.

Weitere Anhaltspunkte sieht die DS-GVO selbst nicht vor. Die Verweise des deutschen BDSG auf das Ordnungswidrigkeitenrecht führen zwar zur Anwendung des „deutschen Verfahrensrechts“, aber nicht zwingend zur Anwendung der deutschen Bemessungsregeln (vgl. § 41 Abs. 1 Satz 2 BDSG).

Gleichwohl erscheinen die Überlegungen des Ordnungswidrigkeitenrechts nicht vollkommen abwegig, den vollen Bußgeldrahmen für vorsätzliche Taten anzuwenden und den halben Bußgeldrahmen bei fahrlässigen Taten (vgl. § 17 Abs. 2 OWiG). Ausgehend von diesem Rahmen kann für einen durchschnittlichen Verstoß der jeweilige Mittelwert angesetzt und anhand der Bemessungskriterien erhöht oder gesenkt werden.

Allerdings sind damit die zuvor angesprochenen Probleme nicht gelöst. Hinzu kommt, dass die Anwendung EU-weit einheitlich erfolgen muss, da die DS-GVO EU-weit einheitlich ausgelegt und gehandhabt werden muss. Ein Blick auf die bisher veröffentlichten Bußgelder in Deutschland und anderer EU-Mitgliedstaaten vermittelt durchaus den Eindruck, dass die deutschen Aufsichtsbehörden einen eher moderaten Ansatz wählen. Der Eindruck kann jedoch täuschen, denn über die unterschiedlichen Sachverhalte und die Umstände der Verhängung der Bußgelder ist schlicht nicht genug bekannt.

Da in Deutschland nicht erstmalig mit der DS-GVO Sanktionen für Verstöße eingeführt worden sind, mag es auf den ersten Blick verwundern, dass die Bemessung in Deutschland so schwer sein soll. Allerdings lässt der Bußgeldrahmen viel Spielraum und die Kriterien zur Bußgeldbemessung sind vom Start weg eher scheinbare als echte Hilfen. Aus rechtsstaatlichen Gründen verbietet sich aber ein „Auswürfeln“ der Bußgeldhöhe .

Das Berechnungsmodell

Am 16. Oktober veröffentlichte die DSK dann ihren Ansatz zur Festlegung von Bußgeldern mit dem Titel „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“.

Der Pressemitteilung der DSK ist hierzu unter anderem das Folgende zu entnehmen: Mit der Veröffentlichung der vorliegenden Fassung des Konzeptes zur Bemessung von Geldbußen soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden. Es soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen. Das Konzept unterstützt mit der Anknüpfung an den Umsatz eines Unternehmens bei der Bußgeldzumessung den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen.

Das veröffentlichte Modell zur Bestimmung des Bußgelds wird nur bei Bußgeldern gegen Unternehmen angewendet und erfolgt in fünf Schritten:

  • Schritt 1: Zuordnung des Unternehmens zu einer GrößenklassenDie Größenklassen A (Jahresumsatz bis zwei Millionen Euro), B (Jahresumsatz über zwei und bis zehn Millionen Euro), C (Jahresumsatz über zehn und bis 50 Millionen Euro) und D (Jahresumsatz über 50 Millionen Euro) werden wiederum zur konkreteren Einordnung der Unternehmen nochmals in Untergruppen unterteilt (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII). 
    • Damit ergeben sich insgesamt 20 Kategorien, die im Konzept tabellarisch benannt sind.
    • Dem Konzept ist hierzu u.a. Folgendes zu entnehmen: Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen (vgl. Art. 83 Abs. 4 bis 6 DS-GVO) und sind unterteilt in Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Großunternehmen. Es gilt gemäß Erwägungsgrund 150 der DS-GVO der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV (sog. funktionaler Unternehmensbegriff). Die Größeneinordnung der KMU orientiert sich hinsichtlich des Vorjahresumsatzes grundsätzlich an der Empfehlung der Kommission vom 6. Mai 2003 (2003/361/EG).
  • Schritt 2: Ermittlung des mittleren Jahresumsatzes der jeweiligen Untergruppe Dieser Ausgangswert ist in der niedrigsten Gruppe A. I. (also bei einem Jahresumsatz bis 700.000 Euro) 350.000,00 € und in der höchsten Gruppe D. VII. (also Jahresumsatz des Unternehmens von mehr als 500 Mio. €) der konkrete Jahresumsatz des Unternehmens. 
    • Dieser Wert ist der Tabelle 2 des Konzepts zu entnehmen und dient der Veranschaulichung der in den folgenden Schritten darauf aufbauenden Ermittlung des wirtschaftlichen Grundwerts.
  • Schritt 3: Ermittlung des wirtschaftlichen Grundwerts Dieser Grundwert ist in der niedrigsten Gruppe A. I. (also Jahresumsatz bis 700.000 Euro) 972,00 Euro und in der höchsten Gruppe D. VII. (also Jahresumsatz des Unternehmens von mehr als 500 Mio. €) der konkret errechnete Tagessatz. Zur Verdeutlichung in der zweiten höchsten Gruppe D. VI. (Jahresumsatz über 400 bis 500 Millionen Euro) sind das 1,25 Millionen Euro. 
    • Für die Festsetzung des wirtschaftlichen Grundwerts wird der mittlere Jahresumsatz der Untergruppe (Schritt 2), in die das Unternehmen eingeordnet wurde, durch 360 Tage geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet. Dieser ist der Tabelle 3 des Konzepts zu entnehmen.
  • Schritt 4: Multiplikation des Grundwerts mittels eines von der Schwere der Tatumstände abhängigen FaktorsAufgrund der unterschiedlichen Bußgeldrahmen wird zwischen Verstößen gegen formelle Regelungen (Art. 83 Abs. 4 DS-GVO) und materielle Regelungen der DS-GVO (Art. 83 Abs. 5, 6 DS-GVO) unterschieden und in zwei Spalten der Tabelle unterschiedliche Faktoren festgelegt. Die in vier Abstufungen vorgesehenen Multiplikatoren sind bei „formelle Verstöße“ 1 bis 6 und bei „materiellen Verstößen“ 1 bis 12. 
    • Bei der Wahl des Multiplikationsfaktors einer sehr schweren Tat ist – so das Konzept - zu beachten, dass der einzelfallbezogene Bußgeldrahmen nicht überschritten wird.
    • Erstmals in Schritt 4 erfolgt anhand der konkreten tatbezogenen Umstände des Einzelfalls eine Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer. Hierfür werden gemäß der Tabelle 4 des Konzepts unter Berücksichtigung der Umstände des Einzelfalls anhand des Kriterienkatalogs des Art. 83 Abs. 2 DS-GVO der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt. Mit diesem soll der (in Schritt 3 ermittelte) Grundwert multipliziert werden.
  • Schritt 5: Anpassung des in Schritt 4 ermittelten Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter UmständeEine erste EinschätzungTrotz aller Kritik muss gesehen werden, dass die Aufsichtsbehörden damit versuchen, in die Berechnung Transparenz zu bringen und damit auch für eine gewisse Gleichheit zu sorgen – sowohl nach oben als auch nach unten. Solche Tabellen und Schemen sind in der Praxis der Sanktionierung auch nicht unüblich. Erste Kritikpunkte sind der Umstand, dass die Heranziehung eines Durchschnittswerts in Schritt 2 diejenigen benachteiligt, die an der unteren Grenze der jeweiligen Gruppe stehen, ein Aspekt, der in Schritt 5 „abgefedert“ werden muss. Der Umsatz als Einstieg in eine Bewertung birgt auch die Gefahr, dass margenschwache Unternehmen (Stichwort: hoher Umsatz, aber geringer Gewinn) benachteiligt werden könnten. Denn wenn zuerst eine tat- und schuldbezogene Bewertung erfolgen würde mit anschließender Multiplikation mit einem Tagessatz, liegt es in der Praxis nahe, dass ein geringerer Wert zur Diskussion stünde. Ein Aspekt, der ebenfalls stark in Schritt 5 berücksichtigt werden muss.Die Aufteilung in fünf Schritte, wovon die ersten drei „nur“ Rechenschritte sind, führt wohl beim ersten Lesen zu dem Eindruck, dass sich Bußgelder mathematisch berechnen lassen und die Sanktion sich allein dadurch finden lässt. Das ist aber in erster Linie des Umfangs dieser ersten drei Schritte im Vergleich zu den letzten beiden geschuldet. In der Sache machen die Schritte 4 und 5 deutlich, dass sich ein Bußgeld nicht rein mathematisch errechnen lässt, sondern Gewichtungen eine erhebliche Bedeutung haben (müssen).Aus der Sicht der Verteidigung gegen Bußgelder besteht in gewisser Weise das Gefühl, gegen einen hohen Ausgangswert „ankämpfen“ zu müssen. Zu sehen ist dabei aber, dass die Auswahl des Multiplikators in Schritt 4 schon nicht mehr rein mathematisch erfolgen kann. Gerade in den Schritten 4 und 5 wird zukünftig (wie bisher) die „Musik spielen“. Natürlich wird auch das Berechnungsmodell (im Einzelfall und generell) nicht kritiklos bleiben (können). 
  • Nicht übersehen werden darf, dass die beste Verteidigung gegen ein Bußgeld darin besteht, möglichst keinen schuldhaften oder jedenfalls keinen sanktionswürdigen Verstoß zu begehen. In der Praxis beginnt schon hier die Verteidigung gegen ein Bußgeld und gerade an diesem Punkt können die Unternehmen durch Datenschutz-Compliance ihr Bußgeld-Risiko im Vorfeld reduzieren.
  • Wenn die erste Überraschung – vielleicht auch der erste Schreck – verflogen ist, wird sich zeigen, dass die Schritte 4 und 5 weiterhin eine signifikante Rolle spielen werden. Hier erfolgt die tat- und schuldangemessene Bußgeldbemessung. Auch die Aufsichtsbehörden scheinen dies nicht zwingend anders zu sehen. Denn diese individuellen Aspekte werden nicht vernachlässigt. Auch bleiben all die Schwierigkeiten im Umgang mit den Kriterien in Schritt 4 und 5. Gerade die entscheidenden Aspekte lassen sich durch Bußgeldrechner nicht abbilden.
  • Ein wesentlicher Kritikpunkt ist, dass in den Schritten 1 bis 3 kein Wert für einen mittleren Verstoß berechnet wird, von dem ausgehend dann schuld- und tatangemessen Ab- und Aufschläge gebildet werden, sondern ein Mindestwert festgelegt ist. In Schritt 4 sind nur erhöhende Multiplikatoren vorgesehen. Erst in Schritt 5 ist vorgesehen, dass auch Abstriche von dem bis dahin ermittelten Wert möglich sind. Hierdurch entsteht ein Störgefühl, dessen Berechtigung weitergehend hinterfragt und untersucht werden muss.
  • Für den mit der Verteidigung in Bußgeldsachen befassten Rechtsanwalt drängt sich zunächst der Impuls auf, dass die Aufsichtsbehörde allein aufgrund der Konzeption des Modells (zuerst Berechnung des „Tagessatzes“ und erst anschließende „tat- und schuldangemessene Bewertung“) zu einem anderen Ergebnis kommt, als wenn zuerst Tat und Schuld gewichtet würden. Bei rein mathematischer Betrachtung ergibt sich vielleicht kein Unterschied allein danach, was zunächst festgelegt wird. In der Praxis besteht dennoch die Gefahr, dass beim vorgestellten Vorgehen tendenziell höhere Bußgelder das Ergebnis sind.
  • Dieses Berechnungsmodell macht zunächst plakativ deutlich, was der neue Bußgeldrahmen der DS-GVO in der Praxis bedeuten kann – aber nicht zwingend muss.
  • Der in Schritt 4 berechnete Betrag wird anhand aller für und gegen das Unternehmen sprechenden Umstände angepasst, soweit diese noch nicht in Schritt 4 berücksichtigt wurden. Das sollen insbesondere sämtliche täterbezogenen Umstände des Kriterienkatalogs in Art. 83 Abs. 2 DS-GVO sowie sonstige Umstände wie eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens sein.

Eine erste Einschätzung

Dieses Berechnungsmodell macht zunächst plakativ deutlich, was der neue Bußgeldrahmen der DS-GVO in der Praxis bedeuten kann – aber nicht zwingend muss.

Trotz aller Kritik muss gesehen werden, dass die Aufsichtsbehörden damit versuchen, in die Berechnung Transparenz zu bringen und damit auch für eine gewisse Gleichheit zu sorgen – sowohl nach oben als auch nach unten. Solche Tabellen und Schemen sind in der Praxis der Sanktionierung auch nicht unüblich.

Für den mit der Verteidigung in Bußgeldsachen befassten Rechtsanwalt drängt sich zunächst der Impuls auf, dass die Aufsichtsbehörde allein aufgrund der Konzeption des Modells (zuerst Berechnung des „Tagessatzes“ und erst anschließende „tat- und schuldangemessene Bewertung“) zu einem anderen Ergebnis kommt, als wenn zuerst Tat und Schuld gewichtet würden. Bei rein mathematischer Betrachtung ergibt sich vielleicht kein Unterschied allein danach, was zunächst festgelegt wird. In der Praxis besteht dennoch die Gefahr, dass beim vorgestellten Vorgehen tendenziell höhere Bußgelder das Ergebnis sind.

Erste Kritikpunkte sind der Umstand, dass die Heranziehung eines Durchschnittswerts in Schritt 2 diejenigen benachteiligt, die an der unteren Grenze der jeweiligen Gruppe stehen, ein Aspekt, der in Schritt 5 „abgefedert“ werden muss. Der Umsatz als Einstieg in eine Bewertung birgt auch die Gefahr, dass margenschwache Unternehmen (Stichwort: hoher Umsatz, aber geringer Gewinn) benachteiligt werden könnten. Denn wenn zuerst eine tat- und schuldbezogene Bewertung erfolgen würde mit anschließender Multiplikation mit einem Tagessatz, liegt es in der Praxis nahe, dass ein geringerer Wert zur Diskussion stünde. Ein Aspekt, der ebenfalls stark in Schritt 5 berücksichtigt werden muss.

Ein wesentlicher Kritikpunkt ist, dass in den Schritten 1 bis 3 kein Wert für einen mittleren Verstoß berechnet wird, von dem ausgehend dann schuld- und tatangemessen Ab- und Aufschläge gebildet werden, sondern ein Mindestwert festgelegt ist. In Schritt 4 sind nur erhöhende Multiplikatoren vorgesehen. Erst in Schritt 5 ist vorgesehen, dass auch Abstriche von dem bis dahin ermittelten Wert möglich sind. Hierdurch entsteht ein Störgefühl, dessen Berechtigung weitergehend hinterfragt und untersucht werden muss.

Die Aufteilung in fünf Schritte, wovon die ersten drei „nur“ Rechenschritte sind, führt wohl beim ersten Lesen zu dem Eindruck, dass sich Bußgelder mathematisch berechnen lassen und die Sanktion sich allein dadurch finden lässt. Das ist aber in erster Linie des Umfangs dieser ersten drei Schritte im Vergleich zu den letzten beiden geschuldet. In der Sache machen die Schritte 4 und 5 deutlich, dass sich ein Bußgeld nicht rein mathematisch errechnen lässt, sondern Gewichtungen eine erhebliche Bedeutung haben (müssen).

Wenn die erste Überraschung – vielleicht auch der erste Schreck – verflogen ist, wird sich zeigen, dass die Schritte 4 und 5 weiterhin eine signifikante Rolle spielen werden. Hier erfolgt die tat- und schuldangemessene Bußgeldbemessung. Auch die Aufsichtsbehörden scheinen dies nicht zwingend anders zu sehen. Denn diese individuellen Aspekte werden nicht vernachlässigt. Auch bleiben all die Schwierigkeiten im Umgang mit den Kriterien in Schritt 4 und 5. Gerade die entscheidenden Aspekte lassen sich durch Bußgeldrechner nicht abbilden.

Aus der Sicht der Verteidigung gegen Bußgelder besteht in gewisser Weise das Gefühl, gegen einen hohen Ausgangswert „ankämpfen“ zu müssen. Zu sehen ist dabei aber, dass die Auswahl des Multiplikators in Schritt 4 schon nicht mehr rein mathematisch erfolgen kann. Gerade in den Schritten 4 und 5 wird zukünftig (wie bisher) die „Musik spielen“. Natürlich wird auch das Berechnungsmodell (im Einzelfall und generell) nicht kritiklos bleiben (können).

Nicht übersehen werden darf, dass die beste Verteidigung gegen ein Bußgeld darin besteht, möglichst keinen schuldhaften oder jedenfalls keinen sanktionswürdigen Verstoß zu begehen. In der Praxis beginnt schon hier die Verteidigung gegen ein Bußgeld und gerade an diesem Punkt können die Unternehmen durch Datenschutz-Compliance ihr Bußgeld-Risiko im Vorfeld reduzieren.

Rechtsanwalt Dr. Jens Eckhard

dmp@derra-d.de

Stand: 11/2019