Die Einhaltung der Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) fällt Unternehmen offensichtlich unterschiedlich leicht. Während manche Firmen ihre Prozesse schon sehr gut an die neuen gesetzlichen Regelungen angepasst haben, tun sich andere hier deutlich schwerer. Viele scheuen auch die damit verbundenen Aufwände und Kosten.
Schließlich macht dies eine Risikoabwägung erforderlich. Ein ganz konkretes Risiko für Unternehmen, die sich gegen eine angemessene Umsetzung des Datenschutzes im Unternehmen entscheiden, stellen Bußgelder der Datenschutz-Aufsichtsbehörden dar.
Bisher konnte zur Bemessung des Risikos nur der Bußgeldrahmen in Art. 83 DSGVO sowie die bisher bekannt gewordenen Fälle aus der Praxis herangezogen werden. Beides ist nicht so ganz zufriedenstellend. Denn der Rahmen enthält nur eine bis-Grenze. Danach können Bußgelder je nach Verstoß bis zu 20 Millionen Euro oder 4 % des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.
Wie hoch ein Bußgeld bei einem Verstoß gegen die DSGVO ausfiel, haben die Aufsichtsbehörden bisher im Einzelfall nach eigenem Ermessen entschieden.
Nun hat sich die Datenschutzkonferenz (DSK) für die Verhängung der Bußgelder in Deutschland auf ein Konzept geeinigt. Dieses schafft Transparenz hinsichtlich der möglichen Bußgeldhöhe.
Danach wird im Falle eines Verstoßes der Jahresumsatz des Unternehmens, der sich am Umsatz des Vorjahres orientiert, zugrunde gelegt und in mehreren Schritten daraus ein Tagessatz ermittelt. Je nach Schwere des Verstoßes wird dann die Anzahl der Tagessätze, beginnend mit einem Tagessatz bei leichtem Verstoß, bis hin zu 12 und mehr Tagessätzen für besonders schwere Verstöße, festgesetzt.
Zusätzlich werden dabei auch die konkreten, tatbezogenen Umstände des Einzelfalls berücksichtigt, so dass der Wert weiter erhöht oder vermindert werden kann. Dabei können neben der Schwere der Tat auch sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens oder die Mitwirkung bei der Aufklärung berücksichtigt werden.
Was bedeutet das für die Praxis?
Sollten Unternehmen im Hinblick auf die Umsetzung von Maßnahmen zur Einhaltung der DSGVO die Höhe möglicher Bußgelder in die Erwägung einbeziehen wollen, können sie nun besser abschätzen, welche Konsequenzen ein solches Vorgehen haben könnte.
Allerdings ist das Konzept durchaus komplex. Zugleich dürfte die Berechnung entsprechend dem Bußgeldkonzept zu sehr hohen Bußgeldern führen. Gerade für Konzerne mit Tochtergesellschaften birgt es ein hohes Risiko.
Die DSK geht vom kartellrechtlichen Unternehmensbegriff aus (vgl. Erwägungsgrund 150 der DSGVO). Dies hat zur Folge, dass bei Konzernen mit mehreren Tochtergesellschaften der weltweite Umsatz des gesamten Konzerns gilt und dementsprechend bei der Berechnung der Bußgelder zugrunde gelegt wird. Unabhängig davon bestehen auch gute Argumente dafür, dass es nur auf den Umsatz einer einzelnen Gesellschaft ankommen darf, denn die DSGVO unterscheidet selbst zwischen dem Begriff „Einzelunternehmen“ und „Unternehmensgruppe“ (vgl. Art. 4 Nr. 18 und 19 DSGVO). Das Bußgeldkonzept führt letztlich dazu, dass für denselben Verstoß, sehr unterschiedliche Bußgelder verhängt werden können und zugleich hauptsächlich der Jahresumsatz und nicht etwa der Verschuldensgedanke oder das Schadensausmaß maßgeblich sind. Zudem ist der Umsatz nicht mit Gewinn gleichzusetzen, so dass sich auch hier die Frage nach der Verhältnismäßigkeit der Berechnungsgrundlage stellt.
Letztlich gilt es erste Gerichtsentscheidungen zur Angemessenheit verhängter Bußgelder abzuwarten. Die Gerichte sind selbstverständlich nicht an die Vorgaben der DSK gebunden.
Das Konzept verliert zudem seine Gültigkeit, sobald der Europäische Datenschutzausschuss (EDSA) seine abschließenden Leitlinien zur Methodik der Festsetzung von Geldbußen erlassen hat.
Aktuelle Beispiele
- Das (in Deutschland bisher höchste) Bußgeld für die Deutsche Wohnen in Höhe von 14,5 Millionen Euro
Anlass hierfür war die Verwendung eines Archivsystems zur Erfassung personenbezogener Daten, ohne dass eine Möglichkeit zur Löschung von nicht mehr erforderlichen Daten vorgesehen war. Es wurden sensible Daten von ehemaligen Mietern oder Interessenten, beispielsweise Selbstauskunftsformulare, Gehaltsnachweise, Arbeitsverträge, sowie Steuer-, Sozial- und Krankenversicherungsdaten, auch Jahre nach Beendigung des Mietverhältnisses gespeichert. - Ein Bußgeld für die 1&1 Telekom von 9,5 Millionen Euro:
Hier wurden unzureichende Maßnahmen zur Authentifizierung der Anrufer im Bereich Kundendienst getroffen. Konkret wurden nur Namen und Geburtsdatum des Kunden abgefragt.
Ausblick
Selbst wenn Gerichte in Einzelfällen die verhängten Geldbußen herabsetzen sollten, müssen Unternehmen zukünftig mit deutlich höheren Bußgeldern rechnen. Zusätzlich gilt es für Unternehmen, die zukünftig höheren Bußgeldrisiken zu identifizieren und ggf. im Rahmen von Rückstellungen einzukalkulieren.
Für die Kalkulation kann das von der DSK entwickelte Konzept zugrunde gelegt werden. Unternehmen sind daher gut beraten, sorgfältig zu prüfen, ob alle datenschutzrechtlichen Vorgaben ordnungsgemäß umgesetzt sind.
Bei Rückfragen sind die Experten der Creditreform Compliance Services GmbH gerne für Sie da!
Autorin:
Natalia Wozniak
Rechtsanwältin
Senior Consultant Data Protection Services
Creditreform Compliance Services GmbH