Konzept der deutschen Datenschutzbehörden zur Berechnung von Bußgeldern gegen Unternehmen
Die deutschen Datenschutzbehörden haben sich im Oktober 2019 auf ein einheitliches Konzept zur Berechnung von Bußgeldern nach Art. 83 DSGVO verständigt. Das Konzept findet keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit sowie grenzüberschreitende Fälle. Andere Datenschutzaufsichtsbehörden der EU sind ebenfalls hieran nicht gebunden. Auch entfaltet es keine Bindung für die Festlegung von Geldbußen durch Gerichte.
Die Bußgeldzumessung erfolgt in fünf Schritten:
1. Kategorisierung der Unternehmen nach Größenklassen
Das Unternehmen wird anhand seiner Größe einer von vier Größenklassen (A bis D) zugeordnet. Die Größenklassen richten sich hierbei nach dem gesamten weltweit erzielten Vorjahresumsatz. Es wird unterschieden zwischen Kleinstunternehmen (bis 2 Mio. € Umsatz), kleine Unternehmen (über 2-10 Mio. € Umsatz), mittlere Unternehmen (über 10-50 Mio. € Umsatz) und Großunternehmen (über 50 Mio. € Umsatz). Zur konkreteren Einordnung der Unternehmen werden innerhalb jeder Klasse nochmals Untergruppen gebildet.
2. Bestimmung des mittleren Jahresumsatzes
Anschließend wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, bestimmt. Dies dient zur Berechnung des im nächsten Schritt ermittelten wirtschaftlichen Grundwertes.
3. Ermittlung des wirtschaftlichen Grundwertes
Um den wirtschaftlichen Grundwert zu ermitteln, wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 Tage geteilt. Daraus ergibt sich der durchschnittliche (auf die Vorkammastelle aufgerundete) Tagessatz.
4. Multiplikation des Grundwertes nach dem Schweregrad der Tat
Im Anschluss erfolgt eine Einordung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer anhand der konkreten tatbezogenen Umstände des Einzelfalls (vgl. Art. 83 Abs. 2 Satz 2 DSGVO). Durch diese Einordnung kann der jeweilige Faktor bestimmt werden, mit dem der unter 3. ermittelte Grundwert multipliziert wird. In Art. 83 Abs. 4 bis 6 DSGVO werden unterschiedliche Bußgeldrahmen für formelle Verstöße (Art. 83 Abs. 4 DSGVO) und materielle Verstöße (Art. 83 Abs. 5, 6 DSGVO) vorgegeben, sodass sich auch entsprechend unterschiedliche Faktoren ergeben.
5. Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände
Der unter 4. errechnete Betrag kann nochmals anhand aller Umstände des Einzelfalls angepasst werden. Dies können beispielsweise täterbezogene Umstände (Art. 83 Abs. 2 DSGVO – Vorsätzlichkeit/Fahrlässigkeit des Verstoßes, Dauer des Verstoßes, Umfang der Zusammenarbeit) sowie sonstige Umstände (lange Verfahrensdauer, drohende Zahlungsunfähigkeit des Unternehmens) sein.
Thomas Haschert Mag. iur., Fachanwalt für Arbeitsrecht, Fachanwalt für internationales Wirtschaftsrecht, Datenschutzbeauftragter der Kanzlei, Datenschutzauditor