Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, „DSK“), hat am 14.10.2019 ihr Konzept zur Bußgeldzumessung bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) vorgestellt. Die Bemühungen der DSK um größere Vorhersehbarkeit und Transparenz bei der Bußgeldbemessung sind zwar zu begrüßen. Das Konzept begegnet indes grundlegenden europa- und verfassungsrechtlichen Bedenken. Der Beitrag in CR 12/2019, 782-788, fasst das neue Bußgeldkonzept zusammen und nimmt hierzu kritisch Stellung.

Warum das Bußgeldkonzept der Datenschutzkonferenz europa- und verfassungsrechtlich bedenklich ist

Inhaltsverzeichnis:

I. Das neue Bußgeldkonzept der DSK

II. Verstoß gegen die Vorgaben der DSGVO

1.  Unternehmensumsatz kein Kriterium für Bußgeldberechnung

2. Notwendiger Bezug der Sanktion zur verantwortlich handelnden Person

III. Verstoß gegen die EU-Grundrechte-Charta

IV. Verstoß gegen deutsches Verfassungsrecht

1.  Verstoß gegen das Bestimmtheitsgebot des Art. 103 Abs. 2 GG

a)  Abstellen auf ein gesetzlich nicht vorgesehenes Kriterium
b)  Unzulässige Einführung einer de facto Untergrenze

2.  Verstoß gegen den Gleichbehandlungsgrundsatz, Art. 3 Abs. 1 GG

a)  Ungleichbehandlung bei schweren und leichten Verstößen großer Unternehmen
b)  Ungleichbehandlung kleinerer Unternehmen

3.  Verstoß gegen Verhältnismäßigkeitsgrundsatz, Willkürverbot und Schuldprinzip

V. Fazit

I. Das neue Bußgeldkonzept der DSK

[1] Ausgangspunkt sämtlicher Überlegungen der DSK ist der Umsatz eines Unternehmens, den die DSK für einen „geeigneten, sachgerechten und fairen Anknüpfungspunkt zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung“ ¹  der Bußgeldregelungen hält. Hierbei geht die DSK unter Verweis auf ErwGr 150 DSGVO von dem weltweiten Vorjahresumsatz der Unternehmensgruppe aus, nicht des einzelnen Unternehmens, dem ein Verstoß gegen die DSGVO vorgeworfen wird. ²  Das von der DSK vorgesehene Verfahren zur Bußgeldfestsetzung lässt sich weiter wie folgt zusammenfassen:

[2] Kategorien: Auf der Grundlage des Vorjahresumsatzes werden die Unternehmen zunächst einer von vier Hauptkategorien (Kleinstunternehmen, kleine, mittlere und große Unternehmen), und innerhalb der Hauptgruppen einer von drei (bei kleinsten und kleinen Unternehmen) bzw. sieben (bei mittleren und großen Unternehmen) Untergruppen zugeteilt. Auf diese Weise werden insgesamt 20 Untergruppen gebildet, beginnend mit Kleinstunternehmen mit einem Jahresumsatz von bis zu 700.000 € bis zur Gruppe der Großunternehmen mit einem Jahresumsatz von mehr als 500 Mio. €.

[3] Mittlerer Jahresumsatz: Den ersten 19 dieser Untergruppen wird im nächsten Schritt ein „mittlerer Jahresumsatz“ zugeordnet; auf Kleinstunternehmen mit einem Jahresumsatz bis zu 700.000 € entfällt beispielsweise ein „mittlerer Jahresumsatz“ von 350.000 €, auf ein Großunternehmen mit einem Jahresumsatz von 400 bis 500 Mio. € ein mittlerer Jahresumsatz von 450 Mio. €. Bei Großunternehmen mit einem Jahresumsatz von über 500 Mio. € soll dagegen der tatsächliche Umsatz jeweils maßgeblich sein, so dass in der 20. Untergruppe dieser Schritt entfällt.

[4] Wirtschaftlicher Grundwert: Im nächsten Schritt wird den „mittleren Jahresumsätzen“ ein „wirtschaftlicher Grundwert“ zugeordnet, der sich ergibt, wenn man den mittleren Jahresumsatz durch 360 (Tage) teilt (nachfolgend deswegen auch: „Tagessatz“ genannt). Kleinstunternehmen mit einem mittleren Tagessatz von 350.000 € gelangen so z.B. zu einem Tagessatz von 972 € (350.000/360 = 972), Großunternehmen mit einem mittleren Jahresumsatz von 450 Mio. € zu einem Tagessatz von 1,25 Mio. €. Lediglich bei Großunternehmen mit mehr als 500 Mio. € Vorjahresumsatz wird ein Tagessatz durch Division des konkreten Umsatzes durch 360 ermittelt; einem Unternehmen mit einem Vorjahresumsatz von beispielsweise 1 Mrd. € würde ein Tagessatz von 2,78 Mio. € zugewiesen, einem Unternehmen mit etwa 10 Mrd. € ein Tagessatz von 27,78 Mio. € usw.

[5] Schwere-Faktor: Der so ermittelte Tagessatz wird dann weiter mit einem Faktor von 1 bis 6 (formelle Verstöße nach Art. 83 Abs. 4 DSGVO) bzw. 1 bis 12 (für materielle Verstöße nach Art. 83 Abs. 5, 6 DSGVO) multipliziert; bei sehr schweren Verstößen kann ein höherer Faktor angesetzt werden, sofern der maßgebliche Höchstsatz des Art. 83 DSGVO (10 Mio. oder 2 % des Umsatzes bzw. 20 Mio. oder 4 % des Vorjahresumsatzes) nicht überschritten wird.

[6] Einzelfall-Ermessen: Erst im letzten Schritt wird der errechnete Betrag anhand der für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht im Rahmen der Ermittlungen eines Multiplikators (Faktor 1 bis 12) berücksichtigt wurden. Die DSK verweist (erst hier) auf den Kriterienkatalog des Art. 83 Abs. 2 DSGVO.

[7] Kritik: Das neue Bußgeldkonzept begegnet massiven europa- und verfassungsrechtlichen Bedenken. Die unter Anwendung des Bußgeldkonzepts erlassenen Bußgeldbescheide werden sich daher des Vorwurfs der Rechtswidrigkeit erwehren müssen.

II. Verstoß gegen die Vorgaben der DSGVO

1. Unternehmensumsatz kein Kriterium für Bußgeldberechnung

[8] Das neue Konzept stellt bereits im Grundsatz einen Verstoß gegen die DSGVO dar, indem es bei der Bemessung des Bußgeldes vom Unternehmensumsatz ausgeht: Die DSGVO nennt ausdrücklich diejenigen Kriterien, nach denen sich die Höhe eines Bußgeldes bestimmt und die von den nationalen Datenschutzbehörden zwingend und „gebührend“ zu berücksichtigen sind (Art. 83 Abs. 2 Satz 2 a–k DSGVO) – der Umsatz des Unternehmens ist dort, anders als etwa in § 81 Abs. 4a GWB für kartellrechtliche Verstöße, (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht