Bußgeldberechnung in fünf Schritten – Die neuen Leitlinien des EDSA
1. Worum geht es?
Verstöße gegen die DSGVO können neben oder anstelle anderer Maßnahmen auch mit Geldbußen sanktioniert werden. Entsprechende Zuwiderhandlungen können – je nach Qualität – mit bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr belegt werden.
Für die Frage, wie hoch ein Bußgeld in dem vorgegebenen Rahmen genau zu bemessen ist, gibt es im Geltungsbereich der DSGVO bisher allerdings keine einheitlichen Leitlinien. Den Aufsichtsbehörden blieb insoweit nur die Orientierung an den abstrakt formulierten Vorgaben in der DSGVO, wonach Sanktionen im Einzelfall wirksam, verhältnismäßig und abschreckend ausgestaltet sein sollen, Art. 83 Abs. 1 DSGVO.
Der EDSA, der sich maßgeblich aus Vertretern der nationalen Aufsichtsbehörden zusammensetzt, will nun mit einer neuen Handreichung zur Vereinheitlichung der nationalen Bußgeldpraktiken beitragen.
Die Veröffentlichung soll die bereits publizierten Leitlinien zur Anwendung und Festsetzung von Bußgeldern ergänzen, in denen die Umstände behandelt werden, auf die aus Sicht des EDSA zweckmäßig mit einer Geldbuße reagiert werden sollte.
2. How to Bußgeldhöhe?
Nach Vorstellung des EDSA erfolgt die Bußgeldbemessung gegen Unternehmen – die Sanktionierung natürlicher Personen ist in den Leitlinien ausdrücklich ausgenommen – zukünftig nach einer 5-Schritt-Methode:
Schritt 1 – Welche Verletzung liegt vor?
In einem ersten Schritt stellt sich die Frage, wie ein beobachtetes Fehlverhalten überhaupt rechtlich einzuordnen ist. Das Ausmaß eine Verletzung muss qualitativ (Welche Daten und Personen sind konkret betroffen?) und quantitativ (Handelt es sich um einen einzelnen Vorfall oder liegen mehrere Verstöße vor?) bestimmt werden. Liegt der Verstoß z.B. in der unberechtigten Versendung von Werbe-E-Mails, ist relevant, an welche Personen die E-Mails versendet worden sind, und ob es sich um einen einmaligen Vorgang handelt oder ob die betroffenen Personen über einen längeren Zeitraum und mehrmals in unzulässiger Weise kontaktiert worden sind.
Um einen Anknüpfungspunkt für die Bemessung des Bußgeldes festzulegen, sollen Aufsichtsbehörden zudem die Frage klären, ob es sich um ein zusammenhängendes Einheitsgeschehen oder um getrennt zu bewertende Einzelverstöße handelt.
Schritt 2 – Ausgangspunkt für die Berechnung bestimmen
Nachdem das zu sanktionierende Verhalten einmal definiert ist, soll zur konkreten Bußgeldbemessung zunächst ein anfänglicher Ausgangswert für die Bußgeldbestimmung festgesetzt werden. Dieser bestimmt sich nach Art und Schwere des Verstoßes sowie dem Umsatz des Unternehmens. Die Art der Zuwiderhandlung ist maßgeblich für die Einordnung in die Art. 83 Abs. 4-6 DSGVO. In diesen drei Absätzen ist ein ausführlicher Katalog von Tatbeständen niedergeschrieben, bei denen – je nach begangener Zuwiderhandlung – unterschiedlich hohe Bußgeldrahmen vorgesehen sind.
Besonders umfangreich behandeln die Leitlinien anschließend das Vorgehen zur näheren Bestimmung der Schwere des Verstoßes. Hierbei sind zahlreiche Einzelelemente, wie u.a. die betroffene Datenkategorie (Art. 83 Abs. 2 S. 2 lit. g DSGVO) und der Schuldvorwurf (Art. 83 Abs. 2 S. 2 lit. b DSGVO) in die Bewertung einzubeziehen. Je schwerwiegender der Verstoß eingeschätzt wird, desto höher soll der Ausgangswert festgelegt werden.
Der EDSA schlägt vor, einen prozentualen Anteil des maximalen Bußgeldrahmens anzusetzen. Bei leichten Verstößen soll dieser zwischen 0-10%, bei mittelschweren Verstößen zwischen 10-20% sowie bei schweren Verstößen zwischen 20-100% des Maximalbetrages aus Art. 83 Abs. 4-6 DSGVO liegen.
Um die Sanktionierung wirksam zu gestalten, gleichzeitig aber auch nicht „über das Ziel hinauszuschießen“, soll dann – je nach Unternehmensgröße – ein Abschlag auf den Ausgangswert erfolgen. Bei Unternehmen mit einem maßgeblichen Jahresumsatz zwischen 100 und 250 Mio. EUR soll nach Auffassung des EDSA etwa erwogen werden, die Berechnungen auf der Grundlage eines Betrags von bis zu 20 % des anfänglich ermittelten Ausgangsbetrags fortzusetzen.
Schritt 3 – Übrige erschwerende oder mildernde Umstände einstellen
Der in Schritt 2 ermittelte Ausgangswert wird in Schritt 3 in Anwendung aller übrigen erschwerenden oder mildernden Umstände aus Art. 83 Abs. 2 DSGVO angepasst. Wichtig ist dabei, dass sowohl das vergangene als auch das gegenwärtige Verhalten des Verantwortlichen in die Bewertung eingestellt werden kann.
Ein Bemessungsfaktor ist dabei u.a. die Reaktion des Unternehmens auf den festgestellten Verstoß. Hat der Verantwortliche rechtzeitig Maßnahmen ergriffen, um die Nachteile für Betroffene abzumildern, ist dies bußgeldreduzierend zu werten. Hingegen wird sich die Frage, ob technische und organisatorische Maßnahmen iSd. Art. 25, 32 DSGVO eingehalten worden sind, im Regelfall nur erschwerend oder allenfalls neutral, nicht aber reduzierend auswirken. Da der Verantwortliche derartige Maßnahmen nach der DSGVO ohnehin treffen muss, können nur solche Maßnahmen berücksichtigt werden, die über gesetzlich geforderte Sicherheitsniveau hinausgehen. Weitere zu berücksichtigende Umstände können beispielsweise frühere Zuwiderhandlungen darstellen, die nach Vergleichbarkeit und zeitlicher Nähe gewichtet werden. Als Richtwert gilt: Je länger eine frühere Zuwiderhandlung zurückliegt und je ähnlicher diese zum nunmehr in Rede stehenden Verstoß war, desto schwerer wiegt sie als Faktor in der Bußgeldbemessung.
Schritt 4 – Einhaltung der Maximalbeträge
Die nach dem vorstehenden Muster bestimmte Bußgeldhöhe darf die in der DSGVO festgelegten Maximalbeträge nicht überschreiten. Zentral sind dabei die Begriffe „Umsatz“ sowie „Unternehmen“.
Das Unternehmen im datenschutzrechtlichen Sanktionssystem ist im kartellrechtlichen Sinne als sogenannte Wirtschaftliche Einheit iSd. Art. 101 f. AEUV zu verstehen. Hiernach kann unter bestimmten Voraussetzungen (Gesellschaftsrechtliche Strukturen, Personenidentität auf Leitungsebene, Wirtschaftliche Abhängigkeiten etc.) auch eine Gruppe von Einzelgesellschaften als Unternehmen gelten, dessen Gesamtumsatz dann maßgeblich ist.
Der EDSA bekräftigt damit noch einmal den funktionalen Ansatz im europäischen Sanktionssystem und rückt das Unternehmen selbst in den Fokus der Sanktionierung. Das europäische Funktionsträgerprinzip führt dabei regelmäßig zu Reibungen mit dem deutschen Sanktionssystem und dessen Rechtsträgerprinzip. Das hiesige Ordnungswidrigkeitenrecht nämlich sieht de lege lata keine unmittelbare Ahndung des Unternehmens selbst vor, sondern ist auf eine Anknüpfungstat einer Leitungsperson angewiesen, die eine Zurechnung rechtfertigt (§§ 41 BDSG iVm. 30 Abs. 1 OWiG).
Jedenfalls mit dem an die wirtschaftliche, rechtliche und persönliche Realität angepassten Vorgehen lag hierzulande bereits das LG Bonn mit seiner Entscheidung aus dem Jahr 2020 auf der Linie des EDSA. In jedem Fall dienen die Leitlinien nochmals als zusätzlicher Stoff für die anstehende Entscheidung des EuGH in Sachen „Deutsche Wohnen”, bei der sich der Gerichtshof auf Vorlage des KG vom Dezember 2021 zu dieser Frage äußern wird.
Schritt 5 – Abschließende Bewertung
In einem abschließenden Schritt verbleibt der Aufsichtsbehörde unter den Aspekten der wirksamen Abschreckung einerseits sowie der Verhältnismäßigkeit andererseits noch der Raum für Anpassungen im Einzelfall. Insbesondere betreffend die Verhältnismäßigkeit kann es mitunter angezeigt sein, das beabsichtigte Bußgeld zu reduzieren, wenn andernfalls die wirtschaftliche Überlebensfähigkeit des Unternehmens in Frage stünde oder die Gesamt- bzw. sektorale Wirtschaftslage eine Anpassung nahelegt.
Ein Beispiel
Zu welchen Ergebnissen die Anwendung der Leitlinien führen kann, soll abschließend anhand eines Beispiels illustriert werden, das an die Ausführungen des EDSA angelehnt ist:
Ein Start-up im Bereich Online-Dating hat einen bußgeldrelevanten Jahresumsatz von 500.000 EUR und verkauft sensible, durch Art. 9 DSGVO geschützte Kundendaten zu Analysezwecken an einen Dritten. Dasselbe Unternehmen wurde bereits fünf Jahre zuvor für eine vergleichbare Zuwiderhandlung mit einem Bußgeld sanktioniert.
Der aufgrund der Ermittlungen der Aufsichtsbehörde festgestellte Sachverhalt ist als Verstoß gegen Art. 9 sowie 5 Abs. 1 lit. a DSGVO einzustufen. (Schritt 1)
Um den Ausgangswert für die Bußgeldbemessung festzulegen, ordnet die Aufsichtsbehörde zunächst die Zuwiderhandlung ihrer Art nach in den Katalog der Art. 83 Abs. 4-6 DSGVO ein. Dabei stellt sie fest, dass die Zuwiderhandlung in Art. 83 Abs. 5 lit. a DSGVO mit einem Bußgeldhöchstbetrag von bis zu 20 Mio. EUR (4 % des Umsatzes wären in diesem Fall niedriger) sanktioniert werden kann. Da aufgrund der Untersuchungen der Aufsichtsbehörde von einer schweren Zuwiderhandlung auszugehen ist, liegt der Ausgangswert im Bereich zwischen 20-100% des Maximalbetrags- also zwischen 4 Mio EUR und 20 Mio EUR – und wird schlussendlich auf 8 Mio EUR festgesetzt.
In Anbetracht des Jahresumsatzes des Unternehmens von 500.000 EUR ist eine Reduzierung des Betrages auf 0,2% des Ausgangswerts anzusetzen, weshalb ein korrigierter Ausgangswert von 16.000 EUR die Grundlage für die weitere Berechnung bildet. (Schritt 2)
Im Hinblick auf die vorhergehende Zuwiderhandlung entschließt sich die Aufsichtsbehörde zudem, dies als Wiederholungsfall gemäß Art. 83 Abs. 2 lit. e DSGVO erschwerend in die Bemessung einzustellen, weshalb ein Bußgeld in Höhe von 21.000 EUR festgesetzt wird. (Schritt 3)
Die Sanktion bewegt sich damit innerhalb des gesetzlich zulässigen Rahmens. (Schritt 4) Besonderheiten, die im Hinblick auf die Überlebensfähigkeit oder die wirtschaftliche Lage eine Korrektur erfordern, liegen nicht vor. (Schritt 5)