Bußgelder in Millionenhöhe für Datenschutzverstöße
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder („DSK“) hat am 14.10.2019 Kriterien für die Bußgeldzumessung gegen Unternehmen veröffentlicht. Das Papier ermöglicht erstmals eine genauere Bestimmung, welche Größenordnung Bußgelder in konkreten Einzelfällen erreichen können. Gerade für größere Unternehmen sieht das Konzept sehr hohe Bußgelder vor. Die Berliner Datenschutzbehörde hat dieses Konzept bereits in die Tat umgesetzt, indem sie gegen die Deutsche Wohnen SE ein Bußgeld in Höhe von 14,5 Millionen EUR erließ.
1. Hintergrund 2. Das Konzept der DSK 2.1 Kategorisierung nach Größenklassen (Schritt 1) 2.2 Bestimmung des mittleren Jahresumsatzes; Division durch 360 (Schritte 2 und 3) 2.3 Faktor je nach Schwere des Verstoßes (Schritt 4) 2.4 Wertungskorrektur (Schritt 5) 3. Das Bußgeld gegen die Deutsche Wohnen SE 4. Ausblick
1. Hintergrund
Die DSGVO regelt die Möglichkeit der Verhängung von Bußgeldern durch die jeweils zuständigen Datenschutzbehörden in Artikel 83.
Dort sind Kriterien genannt, die von den Datenschutzbehörden bei der Bemessung eines Bußgeldes zu berücksichtigen sind. Hierunter fallen zum Beispiel Art, Schwere und Dauer eines Verstoßes sowie die Vorsätzlichkeit bzw. Fahrlässigkeit bei der Begehung desselben. Anhand dieser Kriterien sollen die Datenschutzbehörden nach dem Gesetz „verhältnismäßige“ Geldbußen festlegen, die für den Verantwortlichen gleichzeitig „abschreckend wirken“. Der Höchstbetrag einer Geldbuße kann bis zu 20 Millionen EUR oder 4% des weltweit erzielten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher der Beträge höher ist.
Bei großen Unternehmen können die maximal möglichen Bußgelder sehr hoch ausfallen. Das gilt ganz besonders dann, wenn man nicht den Umsatz des jeweiligen Unternehmens, sondern den sogenannten funktionellen Unternehmensbegriff aus dem Kartellrecht zur Bemessung des Jahresumsatzes heranzieht. Hiernach werden Tochter- und Muttergesellschaften als ein Unternehmen betrachtet. Die Folgen sind für Konzerne gravierend, da ihr gesamter weltweiter Konzernumsatz als Bemessungsgrundlage für Bußgelder dient. Die Anwendung des funktionellen Unternehmensbegriffs ist höchst umstritten, da im Wortlaut von Art. 83 DSGVO nur von „Unternehmen“ die Rede ist. Aber Erwägungsgrund (150) DSGVO legt den Konzernbegriff nahe.
Nach der Einführung der DSGVO hatten deutsche Datenschutzbehörden zunächst verhältnismäßig niedrige Bußgelder verhängt. Diese Praxis dürfte mit der Veröffentlichung des neuen Berechnungskonzepts endgültig beendet sein.
2. Das Konzept der DSK
Gleich zu Beginn des Konzepts stellt die DSK klar, dass sie unter Anwendung des funktionellen Unternehmensbegriffs aus dem Kartellrecht den gesamten Konzernumsatz als Bemessungsgrundlage für Bußgelder heranzieht.
Die Bußgeldbemessung soll zukünftig in fünf Schritten erfolgen: Zunächst wird das jeweilige Unternehmen einer Größenklasse zugeordnet (Schritt 1), deren mittlerer Jahresumsatz sodann bestimmt wird (Schritt 2). Dieser mittlere Jahresumsatz wird sodann durch 360 geteilt, um den „wirtschaftlichen Grundwert“ des Unternehmens zu ermitteln (Schritt 3). Sodann wird unter Berücksichtigung der Kriterien des Art. 83 Abs. 2 S. 2 lit. a)-k) DSGVO ein Faktor ermittelt, mit dem der wirtschaftliche Grundwert multipliziert wird (Schritt 4). Das Ergebnis dieser Rechnung wird sodann noch einmal einer wertenden Betrachtung unterzogen, bei der bislang nicht berücksichtigte relevante Umstände Berücksichtigung finden (Schritt 5)
2.1 Kategorisierung nach Größenklassen (Schritt 1)
Das betroffene Unternehmen, genau gesagt der Konzern, wird – je nachdem wie hoch sein Jahresumsatz ist – in die Größenklassen A (Kleinstunternehmen) bis D (Großunternehmen) eingeordnet, wobei die Größenklassen A und B in weitere drei Untergruppen, die Größenklassen C und D in sieben weitere Untergruppen unterteilt werden. Die jeweiligen Grenzwerte ergeben sich aus der Tabelle auf Seiten 3-5 des Konzepts.
2.2 Bestimmung des mittleren Jahresumsatzes; Division durch 360 (Schritte 2 und 3)
Nun wird pro Unterkategorie der Mittelwert des jeweils oberen und unteren Grenzwertes ermittelt, der dann durch 360 geteilt wird (Schritt 2 und 3). Das Ergebnis dieser Rechnung nennt die Datenschutzkonferenz „wirtschaftlichen Grundwert“.
Eine Ausnahme gilt für Konzerne mit einem Jahresumsatz von über 500 Millionen EUR. Für diese wird der „wirtschaftliche Grundwert“ dadurch ermittelt, dass der konkrete Jahresumsatz des Konzerns durch 360 geteilt wird, da der prozentuale Bußgeldrahmen von 2% bzw. 4% als Höchstgrenze zugrunde zu legen ist. Gerade bei solchen Unternehmen kann bereits der „wirtschaftliche Grundwert“ sehr hoch ausfallen. Bei einem Konzern mit einem jährlichen Umsatz von etwas über 500 Millionen EUR beträgt dieser bereits ca. 1,39 Millionen EUR.
2.3 Faktor je nach Schwere des Verstoßes (Schritt 4)
In Schritt 4 wird der Faktor ermittelt, mit dem der jeweilige „wirtschaftliche Grundwert“ zu multiplizieren ist, um – vorbehaltlich des fünften Schritts – das endgültige Bußgeld zu erhalten. Die Datenschutzkonferenz sieht hier vier Kategorien vor, in die der jeweilige Verstoß einzuordnen ist. Die jeweils anzuwendenden Faktoren ergeben sich aus der folgenden Tabelle
Schweregrad des Verstoßes | Faktor für formelle Verstöße | Faktor für materielle Verstöße |
Leicht | 1-2 | 1-4 |
Mittel | 2-4 | 4-8 |
Schwer | 4-6 | 8-12 |
Sehr schwer | > 6 | > 12 |
Die Ermittlung erfolgt im Zuge einer Bewertung des Verstoßes im Einzelfall unter Berücksichtigung der in Art. 83 Abs. S. 2 DSGVO genannten Kriterien.
Aus dem Umstand, dass mindestens ein Faktor von 1 anzusetzen ist ergibt sich, dass der im Zuge der Schritte 2 und 3 ermittelte „wirtschaftliche Grundwert“ das Mindestbußgeld darstellt. Etwas Anderes kann nur dann gelten, wenn im Rahmen des fünften Schrittes eine Reduzierung auf einen Faktor von unter 1 möglich ist. Das Konzept der DSK enthält keine Aussage dazu, ob eine solche Reduzierung vorgesehen ist. Im Fall der Berliner Behörde wurde dies allerdings angewandt.
2.4 Wertungskorrektur (Schritt 5)
Im Rahmen von Schritt 5 wird der ermittelte Betrag erneut einer wertenden Betrachtung unterzogen, wobei nun solche Kriterien berücksichtigt werden, die noch nicht im Rahmen von Schritt 4 mit in die Bewertung eingeflossen sind. Die Datenschutzkonferenz nennt hier „täterbezogene Umstände“ sowie sonstige Umstände wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit.
3. Das Bußgeld gegen die Deutsche Wohnen SE
Die empfindliche Höhe der nach dem neuen Konzept zu verhängenden Bußgelder musste zwischenzeitlich die Deutsche Wohnen SE erfahren, deren Jahresumsatz im Jahr 2018 1,101 Milliarden EUR betrug.
Die Berliner Beauftragte für den Datenschutz verhängte laut Pressemitteilung vom 5.11.2019 ein Bußgeld in Höhe von 14,5 Millionen EUR, da die Deutsche Wohnen SE personenbezogene Daten zu den persönlichen und finanziellen Verhältnissen von Mietern speicherte, ohne zu prüfen, ob die Speicherung zulässig war oder nicht bzw. alte Daten nicht löschte. Das genutzte Archivsystem habe keine Löschung dieser Daten vorgesehen. Eine Aufforderung der Behörde aus dem Jahr 2017, das Archivsystem umzustellen, habe die Deutsche Wohnen SE nicht hinreichend befolgt.
Der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten Datenschutzverstoß habe bei ca. 28 Millionen EUR gelegen. Belastend habe sich ausgewirkt, dass die Deutsche Wohnen SE das Archivsystem bewusst angelegt habe und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet worden seien. Bußgeldmindernd sei berücksichtigt worden, dass das Unternehmen in gewisser Weise gut mit der Behörde zusammengearbeitet habe.
Außerdem hat die Berliner Datenschutzbeauftragte gegen die Deutsche Wohnen SE noch weitere Bußgelder zwischen 6.000 und 17.000 EUR wegen der unzulässigen Speicherung personenbezogener Daten von Mietern in 15 konkreten Einzelfällen verhängt.
Die Entscheidung zeigt, dass das neue Bußgeldkonzept auch bei Erstverstößen und ohne missbräuchliche Zugriffe durch Dritte hohe Bußgelder zur Folge hat. Nach dem oben erläuterten Konzept beträgt der „wirtschaftliche Grundwert“ der Deutschen Wohnen SE ca. 3,06 Millionen EUR (1,101 Milliarden EUR geteilt durch 360). Der gesetzlich vorgegebene Höchstbetrag eines Bußgeldes beträgt bei der Deutschen Wohnen SE ca. 44 Millionen EUR (4% von 1,101 Milliarden EUR). Nach dem Konzept der DSK wäre daher ein Bußgeld zwischen ca. 3,06 Millionen EUR und ca. 44 Millionen Euro möglich gewesen. Die Berliner Datenschutzbehörde ist daher – bezogen auf den Grundwert – anscheinend von einem Faktor 4,74 ausgegangen (4,74 mal 3,06 Millionen EUR ergibt ca. 14,5 Millionen EUR), was einem „mittleren Verstoß“ gegen die DSGVO entspricht. Aus der Presseerklärung nicht nachvollziehbar ist, wie die Behörde beim „gesetzlich vorgegebenen Rahmen zur Bußgeldbemessung“ auf einen Wert von „ca. 28 Millionen EUR“ gekommen ist.
Interessant an der Entscheidung ist auch, dass die Behörde zusätzliche Einzelverstöße mit Bußgeldern weit unter dem „wirtschaftlichen Grundwert“ der Deutschen Wohnen SE verhängt hat. Hieraus kann geschlossen werden, dass – zumindest nach der Ansicht der Berliner Datenschutzbehörde – solche niedrigeren Bußgelder auch gegen Großunternehmen weiterhin möglich bleiben.
4. Ausblick
Das neue Konzept macht die Berechnung von Bußgeldern vorhersehbarer. Geht man davon aus, dass im Rahmen von Schritt 4 ein kleinerer Faktor als 1 nicht vorgesehen ist, lässt sich gar ein Mindestbußgeld berechnen. Nichtsdestotrotz enthält das neue Konzept noch einigen Spielraum für Wertungen der Behörden, sodass sich letztlich nur ein Korridor für das zu bemessende Bußgeld ermitteln lässt.
Die Entscheidung der Berliner Datenschutzbehörde lässt vermuten, dass für Einzelverstöße weiter verhältnismäßig niedrige Bußgelder verhängt werden können.
Da Gerichte nicht an das Berechnungskonzept der DSK gebunden sind, bleibt abzuwarten, wie diese auf derartige Bußgelder reagieren werden. Der gegen die Deutsche Wohnen SE ergangene Bußgeldbescheid ist noch nicht rechtskräftig, sodass möglicherweise schon im weiteren Verlauf dieses Verfahrens offene Rechtsfragen gerichtlich geklärt werden könnten.
Für Fragen stehen wir Ihnen gerne zur Verfügung.
Unser Team ist auch beim Europäischen Datenschutzkongress der IAPP am 20. und 21. November 2019 in Brüssel anwesend. Sofern Sie dort teilnehmen, sprechen Sie uns doch gerne an, damit wir Sie dort treffen.