Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 67 | 23.10.2019


Neues Modell zur Bußgeldberechnung bei DSGVO-Verstößen
Dr. Thomas Jansen, Dr. Philip Kempermann, LL.M., Dr. Frederik Wiemer, Britta Hinzpeter, LL.M. und Alexa Finke, LL.M.


Bereits seit einigen Wochen ist bekannt, dass die Konferenz der unabhängigen Datenschutz-aufsichtsbehörden von Bund und Ländern (DSK) sich am 25. Juni 2019 auf ein neues Verfahren zur Bemessung von Bußgeldern für Unternehmen einigte, die gegen Bestimmungen der DSGVO verstoßen haben. Am 16. Oktober 2019 veröffentlichte die DSK nun ihr neues Konzept in einem achtseitigen Bericht. Das neue Berechnungsmodell trägt zwar einerseits zur Sicherheit der Bußgeldbemessung bei, wirft jedoch auch einige neue Fragen auf.

Hintergrund

Um ein Auseinanderdriften der Höhe der Geldbußen zu vermeiden, sieht Art. 70 der DSGVO vor, dass der Europäische Datenschutzausschuss („EDSA“), das Gremium der Aufsichtsbehörden der EU Mitgliedsstaaten, Leitlinien für eine einheitliche Anwendung der Bußgeldvorschriften erlässt. Bisher hat der EDSA solche Leitlinien jedoch noch nicht erlassen. Um bis zum Erlass solcher Richtlinien durch den EDSA zumindest innerhalb von Deutschland einheitliche Bußgelder sicherzustellen, hat die DSK nun ein Verfahren zur Bemessung der Bußgeldberechnung entwickelt. Sobald ein europäisches Verfahren zur Bußgeldberechnung vorliegt, verliert das Verfahren der DSK seine Gültigkeit.

Verfahren zur Bußgeldbemessung

Die maßgebliche Grundlage für die Verhängung von Bußgeldern bleibt Art. 83 DSGVO, der verschiedene Faktoren festlegt, die bei der Bemessung von Bußgeldern berücksichtigt werden müssen. Das Verfahren der DSK zur Bußgeldzumessung knüpft an diese Faktoren an. Die Obergrenze der Bußgelder beträgt damit auch weiterhin EUR 20 Mio. bzw. 4 % des Jahresumsatzes.

Die konkrete Bemessung des Bußgeldes nach dem Verfahren der DSK erfolgt in 5 Schritten:
  1. Kategorisierung der Unternehmen in Größenklassen: Das betroffene Unternehmen wird anhand seines Umsatzes einer von vier Größenklassen zugeordnet. Dabei knüpft die DSK an den funktionalen Unternehmensbegriff im Sinne der Artikel 101 und 102 AEUV an, da auf diese Vorschrift auch in den Erwägungsgründen der DSGVO verwiesen wird. Dies bedeutet für Konzerngesellschaften, dass der weltweite Umsatz des ganzen Konzerns als Berechnungsgrundlage genommen wird.
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Gruppe: Für jede der Größenklassen hat die DSK einen mittleren Jahresumsatz erstellt.
  3. Ermittlung eines wirtschaftlichen Grundwertes: Für die Festsetzung dieses Grundwertes wird der mittlere Jahresumsatz der Gruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt, um so einen durchschnittlichen Tagessatz zu errechnen.
  4. Multiplikation dieses Grundwertes mit einem von der Schwere der Tatumstände abhängigen Faktor: In diesem Schritt wird zunächst der Schweregrad des Verstoßes ermittelt; hierfür wird ein Punktesystem verwendet, das die in Art. 83 DSGVO genannten Faktoren (u.a. Art, Dauer und Umfang des Verstoßes, Verschulden des Verantwortlichen und getroffene Minderungsmaßnahmen) berücksichtigt. Anhand der Punkte erfolgt die Einordnung in die Schweregradklassen leicht, mittel, schwer oder sehr schwer. Je nach Schweregrad und nach Art des Verstoßes (Art. 83 Abs. 4 oder Art 83 Abs. 5 und 6 DSGVO) wird dann der vorher ermittelte Tagessatz mit einem Faktor zwischen 1 und 12 multipliziert.
  5. Anpassung des ermittelten Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände: Letztlich kann die Behörde das Bußgeld aufgrund von noch nicht berücksichtigten erschwerenden oder mildernden Umständen individuell anpassen.
Bewertung und Vergleich zu anderen Rechtsgebieten

Das neue Modell knüpft sehr stark an den Umsatz der Unternehmensgruppe an, was zukünftig zu deutlich höheren Bußgeldern führen dürfte. Bei einem Konzern mit einem Jahresumsatz von EUR 400 - 500 Mio. ergäbe sich beispielsweise bereits bei einem leichten Verstoß ein Bußgeld von ca. EUR 1,25 Mio., d.h. gefühlt unverhältnismäßig hohe Bußgelder könnten die Folge sein. Allerdings erfolgt auch im Kartellrecht schon seit vielen Jahren die Bußgeldbemessung anhand des Gruppenumsatzes; sehr hohe Bußgelder werden von den Gerichten regelmäßig nicht als unverhältnismäßig sondern aus Gründen der Abschreckung als rechtmäßig angesehen.

Abzuwarten wird allerdings sein, ob die Anknüpfung an den Umsatz der Unternehmensgruppe im Falle einer gerichtlichen Überprüfung Bestand haben wird. Anders als im Kartellrecht unterscheidet die DSGVO nämlich in den Begriffsbestimmungen zwischen dem Einzelunternehmen und der Unternehmensgruppe (siehe etwa Art. 4 Nr. 19 DSGVO für die Unternehmensgruppe). Art. 83 DSGVO spricht bei der Bußgeldzumessung aber nur vom Umsatz des Unternehmens und nicht der Unternehmensgruppe. Daher existieren auch gute Argumente dafür, dass der Gruppenumsatz nicht zur Bemessung des Bußgelds herangezogen werden kann.

Fazit und Handlungsempfehlung

Letztlich werden die Gerichte entscheiden müssen, ob die mit dem Verfahren der DSK berechneten Geldbußen rechtmäßig und zwingend anzuwenden sind. Im Kartellrecht entschied das OLG Düsseldorf bereits, dass Gerichte nicht an das allgemeine Berechnungsmodell des Bundeskartellamts gebunden sind. Schlimmstenfalls kann sogar mit Verböserungen zu rechnen sein d.h. die Gerichte verhängen häufig noch höhere Bußgelder als das Bundeskartellamt.

Selbst wenn Gerichte in Einzelfällen Geldbußen herabsetzen mögen, werden Unternehmen zukünftig bis zu einer Verfestigung der Rechtsprechung mit deutlich höheren Bußgeldern zu rechnen haben. Für Unternehmen empfiehlt sich daher, sorgfältig zu prüfen, ob alle Datenschutz-Compliance-Maßnahmen ordnungsgemäß umgesetzt sind. Zusätzlich gilt es für Unternehmen, die zukünftig höheren Bußgeldrisiken zu identifizieren und einzukalkulieren. Eine solche Kalkulation kann anhand des von der DSK entwickelten Konzeptes deutlich präziser erfolgen. Unternehmen müssen darüber hinaus dafür sorgen, dass die gestiegenen Bußgeldrisiken in ihrem Risikomanagement abgebildet und gegebenenfalls dementsprechende Rückstellungen gebildet werden, die sich auf den Jahresabschluss bzw. das Ergebnis des Unternehmens auswirken (weitere Informationen bezüglich der Auswirkungen der DSGVO auf die Jahresabschlussprüfung können Sie unserem Newsletter Update Datenschutz Nr. 45 entnehmen).

Autoren


Dr. Thomas Jansen ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Dr. Philip Kempermann, LL.M., ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Dr. Frederik Wiemer ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Britta Hinzpeter, LL.M., ist Rechtsanwältin bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Alexa Finke, LL.M., ist Rechtsanwältin bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.


Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Ubbo Aßmus
Heuking Kühn Lüer Wojtek
Dr. Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Dirk Stolz
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Florian Winzer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf







Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2019 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner: www.heuking.de

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie unter www.heuking.de nachlesen.

datenschutz@heuking.de