Wie die Bußgelder nach DSGVO bemessen werden sollen

Ermessenkriterien für Bußgelder

Bei der Entscheidung über die Verhängung der Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte die Ermessenskriterien – wie die in Artikel 83 DSGVO genannten – geprüft.

Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Konkret nennt die DSGVO diese Kriterien, die bei der Bemessung von Bußgeldern bei Datenschutzverletzung zu berücksichtigen sind: Bußgelder müssen in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

• Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
• jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
• Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen
• etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
• Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
• Einhaltung der früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden
• Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren und
• jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Gemeinsames Konzept der deutschen Aufsichtsbehörden zur Zumessung von Geldbußen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zudem kürzlich ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO durch Unternehmen vorgelegt. Das Konzept gestaltet im Wesentlichen die genannten Vorgaben des Artikels 83 der Datenschutz-Grundverordnung aus und ist auf Fortentwicklung angelegt. Ziel des Konzepts ist es, den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.

Veränderungen und Ergänzungen des Konzepts sowie der Praxis der Aufsichtsbehörden sind aufgrund neuer Erkenntnisse aus den europaweiten Abstimmungen in der Zukunft möglich. Bis der Europäische Datenschutzausschuss (EDPB) endgültige Leitlinien erstellt hat, soll das vorliegende Konzept die Grundlage für die Bußgeldzumessung in der Sanktionspraxis der deutschen Aufsichtsbehörden bilden.

Mit der Veröffentlichung des Konzeptes zur Bemessung von Geldbußen soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden. Es soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen.

Das Konzept unterstützt mit der Anknüpfung an den Umsatz eines Unternehmens bei der Bußgeldzumessung den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen.

Im Detail betrachtet das Konzept zur Bemessung der Bußgelder nach DSGVO bei Verletzung des Datenschutzes

• eine Kategorisierung der Unternehmen nach Größenklassen/Jahresumsatz
• die Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse (also Umsatz in Verbindung mit Unternehmenskategorie wie Kleinstunternehmen, kleines und mittleres Unternehmen etc.)
• die Ermittlung des wirtschaftlichen Grundwertes (mittlerer Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt)
• Multiplikation des Grundwertes nach Schweregrad der Tat (leicht bis sehr schwer, wobei die Art des Verstoßes berücksichtigt wird)
• eine Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände

Das Konzept kann beispielsweise hier (PDF) eingesehen werden.