Europaweite Vereinheitlichung der Bußgelder bei Datenschutzverstößen – Wie teuer wird es?

Auf den Entwurf des europäischen Datenschutzausschusses (EDSA) für Richtlinien zur Vereinheitlichung der Berechnungsgrundlage von Bußgeldern bei Datenschutzverstößen hatten Datenschützer lange gewartet. Schließlich sollen diese die europaweit einheitliche Anwendung der DSGVO sicherstellen. Zu den Richtlinien gehören auch Leitlinien für die Bußgeldpraxis, an denen sich die Aufsichtsbehörden zu orientieren haben. Anders als das vom LG Bonn verworfene Bußgeldmodell der deutschen Datenschutzkonferenz haben diese Leitlinien eine rechtlich verbindliche Ausstrahlungsswirkung.

Der Fünfstufenplan – ein erster Überblick

Mitsamt eines „step-by-step“-Plans will der EDSA eine klare, transparente und einheitliche Basis für die Verhängung von Bußgeldern bei Datenschutzverstößen im gesamten europäischen Raum schaffen. Zugleich ist dem EDSA bewusst, dass die Leitlinien strukturell höhere Bußgelder nach sich ziehen werden („The regulation imposes a new, substantially increases level as fines…“). Dazu wird ein Fünfstufenplan vorgestellt. Mit Durchlaufen dieser fünf Stufen sollen die Aufsichtsbehörden aus Sicht des EDSA die Bußgeldhöhe im Einzelfall ermitteln:

Schritt 1: Wie viele Verstöße sind es?

Im ersten Schritt des Fünfstufenplans müssen die Aufsichtsbehörde die Anzahl der sanktionierbaren Verhaltensweisen, die Anzahl der daraus resultierenden Verstöße und die daraus folgenden Einflüsse auf die Berechnung der zu verhängenden Bußgelder ermitteln. Das ist mitunter nicht trivial. Je nach der rechtlichen Einordnung verschiedener Verhaltensweisen als „einer Handlung“ oder „mehrerer Handlungen“, werden dann entsprechend ein oder mehrere Bußgelder verhängt.

Zunächst, so der EDSA, sei festzustellen, ob es sich bei dem in Frage stehenden Verhalten um eine zusammenhängende oder getrennt sanktionierbare Verhaltensweise handelt. Liegt eine einzige Datenverarbeitung bzw. zusammenhängende Datenverarbeitungen vor, müsse bestimmt werden, ob daraus ein Verstoß oder mehrere Verstöße gegen die DSGVO hervorgehen. Ob die Datenverarbeitungen „zusammenhängen“, sei im Einzelfall zu klären. Auf einzelne Verarbeitungsmodalitäten käme es dabei nicht an.

Die Erhebung und die anschließende Speicherung von Daten seien zwar für sich genommen einzelne Verarbeitungen i. S. Art. 4 Nr. 2 DSGVO, könnten aber gleichwohl als zusammenhängend betrachtet werden, sofern sie von einem einheitlichen Willen getragen und in einem räumlichen, zeitlichen und inhaltlichen Zusammenhang ausgeführt werden. In solchen Fällen handele es sich dann um einen Verstoß.

Der EDSA verweist für die Methodik auf die „Tradition der Mitgliedsstaaten“ zur sogenannten Konkurrenzenlehre. Dies ist in Deutschland in den §§ 52 ff. StGB und §§ 19 ff. OWiG geregelt. Die Konkurrenzen sind im Straf- und Bußgeldrecht immer dann zu beachten, wenn der Beschuldigte mit einer Handlung mehrere Tatbestände oder einen Tatbestand mehrmals verwirklicht hat. Ziel dieser Regelungen ist es festzulegen, ob (nur) auf eine Strafe erkannt wird oder mehrere Strafen vorliegen. Genauso geht auch der EDSA vor und übernimmt damit dogmatisch die Konkurrenzenlehre, die auch in Deutschland maßgeblich die Höhe der Strafen bestimmt.

Angenommen, eine Verhaltensweise verletze jedoch mehrere DSGVO-Vorschriften bzw. eine Vorschrift mehrmals, und die Taten würden einander nicht verdrängen, dann liege Idealkonkurrenz (vgl. § 52 StGB) vor. In diesem Fall müsse die Aufsichtsbehörde alle Verstöße bei der Berechnung des Bußgelds berücksichtigen. Der verhängte Betrag darf jedoch nicht den höchsten Bußgeldrahmen des schwerwiegendsten Verstoßes überschreiten (Art. 83 Abs. 3 DSGVO).

Ist hingegen bereits das Verhalten getrennt voneinander zu betrachten, greift das Prinzip der Realkonkurrenz (vgl. § 53 StGB). Das umfasse alle Fälle, in denen keine einheitliche bzw. zusammenhängende Datenverarbeitung stattfinde, sondern verschiedene DSGVO-Verstöße desselben Verantwortlichen lediglich zufällig zur selben Zeit von der Aufsichtsbehörde zur Kenntnis genommen werden. Die Bußgelder sind dann für jeden Verstoß einzeln zu berechnen und demnach nicht gemäß Art. 83 Abs. 3 DSGVO in ihrer Höhe auf den höchsten Betrag des schwerwiegendsten Verstoßes begrenzt.

An fünf Beispielen exemplifiziert der Ausschuss seine Ansicht zur Frage, wann ein Verstoß bzw. wann mehrere Verstöße vorliegen. Hier handelt es sich allerdings um lehrbuchartige Ausführungen, die im Einzelfall nur einen ersten Anhaltspunkt liefern. Für die Verteidigung in der Zukunft wird es viel ertragreicher sein, sich mit der Rechtsprechung der Strafgerichte auseinanderzusetzen, weil für eine Vielzahl von Fällen entsprechende Klassifizierung vorhanden sind.

Schritt 2: Einheitliche Bemessung der Ausgangshöhe

Ein weiterer Schritt des Fünfstufenplans ist die Schaffung einer harmonisierten Berechnungsgrundlage. Angestrebt wird dabei nicht die Verhängung gleicher Bußgeldbeträge im Ergebnis, sondern ein abgestimmter „starting point“, an dem sich die Aufsichtsbehörde bei ihren Berechnungen orientieren könne. Daneben bleibe die Entscheidung eine einzelfallabhängige Betrachtungsweise der Behörden die den konkreten Umstände Rechnung tragen muss.

Drei Faktoren sieht der EDSAG als entscheidend für die Bemessung der Ausgangshöhe an:

1. Faktor: Kategorisierung des Verstoßes

Zunächst finde eine Kategorisierung des Verstoßes statt. Entweder handelt es sich um einen Verstoß nach Art. 83 Abs. 4 DSGVO oder um einen Verstoß nach Art. 83 Abs. 5 bzw. 6 DSGVO. Im ersten Fall läge der gesetzliche Höchstbetrag bei 10 Millionen Euro. Im zweiten Fall dürfte das verhängte Bußgeld 20 Millionen Euro nicht überschreiten. Bereits auf dieser Stufe wird also eine Bewertung der Verstöße vorgenommen. Ein Verstoß gegen die Pflicht der Sicherheit in der Verarbeitung (Art. 32 DSGVO) wiegt demgemäß weniger schwer als ein Verstoß gegen die allgemeinen Datenschutzgrundsätze (Art. 5 DSGVO)

2. Faktor: Schwere des Verstoßes

Mit Orientierung an dem jeweiligen Maximalbetrag sei im nächsten Schritt die Schwere des Verstoßes anhand der Umstände des Einzelfalls zu bestimmen. Dabei werden die Art, die Schwere und die Dauer des Verstoßes berücksichtigt. Unter anderem ist relevant, in welcher Art und Weise, in welchem Umfang und zu welchem Zweck die Daten innerhalb des Unternehmens verarbeitet wurden und wie hoch der Schaden ausfiel. Ebenso wichtig kann es sein, ob vorsätzlich oder fahrlässig gehandelt wurde und inwieweit bei dem Verstoß schutzbedürftige, persönliche Daten betroffen sind. Darauf basierend soll eine Einordnung in die drei Kategorien niedriges, mittleres oder hohes Level der Schwere stattfinden, um den prozentualen Bereich, in dem die Berechnungsgrundlage liegen soll, festzulegen. Bei leichten Verstößen soll der Grundbetrag zwischen null und zehn Prozent, bei mittleren Verstößen zwischen zehn und 20 Prozent und bei schweren Verstößen zwischen 20 und 100 Prozent des Maximalbetrages liegen.

3. Faktor: Umsatzbezogenheit

Schließlich soll bereits zu diesem Zeitpunkt der jährliche Umsatz des verantwortlichen Unternehmens auf die Ausgangshöhe der Geldbuße Einfluss nehmen. Dazu gibt es je nach Umsatz des Unternehmens die Möglichkeit diese prozentual anzupassen. Bei Unternehmen mit einem Jahresumsatz bis zu 50 Millionen Euro kann die Ausgangshöhe je nach Umsatzschwelle auf 0,2, 0,4 oder auf 2 Prozent herabgesetzt werden. Sobald ein Unternehmen allerdings einen jährlichen Umsatz von 50 Millionen bis zu mehr als 250 Millionen Euro erzielt, ist eine Herabsetzung auf (nur) 10, 20 oder 50 Prozent möglich. Damit könnte die Aufsichtsbehörde bei einem Unternehmen mit einem jährlichen Umsatz von 8 Milliarden Euro selbst bei einem leichten Verstoß und einem Abschlag von 50 Prozent eine Ausgangshöhe des Bußgelds von 25 Millionen Euro festlegen. Die prozentuale Spanne für die Herabsetzung scheint also sehr zu Lasten der umsatzstarken Unternehmen ausgelegt zu sein.

Schritt 3: Erschwerende und mildernde Umstände

Im nächsten Schritt findet die weitere Zumessung statt, indem erschwerende und mildernde Umstände berücksichtigt werden. Ein mildernder Faktor könne beispielsweise sein, dass der Verantwortliche rechtzeitig geeignete Maßnahmen ergreift, um das Schadensausmaß für die betroffenen Personen zu verringern. Wenn allerdings ein Unternehmen vor nicht allzu langer Zeit bereits in ähnlicher Art und Weise gegen Datenschutzvorschriften verstoßen hat, könne das in den Augen der Behörde ein wiederkehrendes Problem darstellen und der Bußgeldbetrag erhöht werden. Zugleich soll das Fehlen eines vorherigen Verstoßes lediglich neutral zu bewerten sein. Es soll also (im Vergleich) nicht positiv berücksichtigt werden, dass keine „Vorstrafen“ vorliegen. Das wirft mit Blick auf das allgemeine Strafrecht (§ 46 Abs. 2 StGB) Bedenken auf. Denn bei der Strafzumessung gilt, dass fehlende Vorstrafen mildernd zu berücksichtigen sind.

Warum das bei DSGVO-Verstößen nicht der Fall sein soll, bleibt unklar. Ebenso verhält es sich mit der neutralen Bewertung der Einhaltung zuvor erlassener Maßnahmen. Zwar ist es natürlich verpflichtend, diese einzuhalten. Aber das ist die Nichtbegehung von Straftaten ebenfalls. An dieser Stelle erhärtet sich der Eindruck, dass der EDSA der Behörde weitaus mehr Spielraum in Richtung einer Erhöhung des Bußgeldes zusprechen will andersherum. Die Gewährleistung von Compliance ist für die meisten Unternehmen eine herausfordernde Aufgabe. Daher ist es wichtig, die erfolgreiche Arbeit positiv zu bewerten. Nur so kann die Steuerungswirkung regulatorischer Vorschriften wirken. Insofern hätte der EDSA hier einen anderen Weg einschlagen können.

Schritt 4: Obergrenze durch Maximalbeträge

Im vorletzten Schritt will der EDSA eine Höchstgrenze für das Bußgeld festlegen. Der EDSA betont abermals, dass kein bestimmter Bußgeldbetrag an Datenschutzverstöße geknüpft werden soll. Vielmehr gebe es die starren Höchstbeträge je nach Art des Verstoßes in Höhe von 10 oder 20 Millionen Euro.

Daneben gebe es aber zusätzlich dynamische Höchstbeträge. Je nach Verstoß können diese bei zwei oder vier Prozent des Umsatzes des letzten Geschäftsjahres liegen. Sofern dieser Betrag höher ist als die gesetzliche Höchstgrenze, sei das der maximal zu verhängende Betrag des Bußgeldes. Relevant wird demnach der Umsatz erst, wenn er die Höhe von 500 Millionen Euro jährlich überschreitet. Ansonsten gilt der starre Höchstbetrag.

Wie genau der Jahresumsatz berechnet wird, erläutern die geplanten Richtlinien im Detail. Der Umsatz orientiere sich hierbei an dem Unternehmen als wirtschaftliche Einheit („single economic unit“). Das bedeutet, dass bei Konzernen der Gesamtumsatz der Mutter- und Tochtergesellschaften die dynamische Höchstgrenze bestimmt. Bekanntlich liegt diese Frage derzeit dem EuGH vor. 

In diesem Zusammenhang widmet sich der EDSA auch der in Deutschland hoch umstrittenen Frage, für welches und für wessen Verhalten das Unternehmen haftet. Hier positioniert sich der EDSA eindeutig:

Zugerechnet werde das Handeln/Unterlassen jeder natürlichen Person, die im Namen des Unternehmens tätig wird. Es komme nicht (mehr) auf eine leitende Position des Verantwortlichen an. Diese Haftung werde nur ausgeschlossen, sofern die Person ausschließlich zu privaten Zwecken oder weit über ihren Zuständigkeitsbereich hinaus handelt. Der EDSA geht demzufolge von einer unmittelbaren und autonomen Unternehmenshaftung aus („direct corporate liability“).

Damit stützt der EDSA die Ansicht des LG Bonn. Während das LG Bonn § 30 OWiG bei Verstößen gegen die DSGVO für unanwendbar hält und eine unmittelbare Verbandshaftung ohne Anknüpfung an das Verhalten einer bestimmten Person annimmt, hält das LG Berlin daran fest, dass ein vorwerfbares Verhalten einer natürlichen Person eine notwendige Grundvoraussetzung für die Unternehmenshaftung darstellt (vgl. §§ 30, 130 OWiG). Eine finale Beantwortung dieser Streitfrage wird wohl erst durch den Europäischen Gerichtshof (EuGH) erfolgen, dem diese Frage vorliegt (Vorabentscheidungsersuchen des KG Berlin – Rechtssache C-807/21). Ob die Deutschen Aufsichtsbehörden dem EDSA folgen werden, bleibt insoweit abzuwarten.

Schritt 5: „Wirksam, verhältnismäßig, abschreckend“

Im letzten Schritt legt der EDSA Wert darauf, dass im Ergebnis „wirksame, verhältnismäßige und abschreckende“ Bußgelder verhängt werde. Als wirksam gelten sie, sofern sie das geplante Ziel erreichen, was sich je nach Einzelfall bestimme. Im Rahmen der Verhältnismäßigkeit müsse die Geeignetheit und Erforderlichkeit im Verhältnis zur Schwere des Verstoßes und Größe des Unternehmens beachtet werden. An dieser Stelle könne die Aufsichtsbehörde eine Herabsetzung des Betrages aufgrund der Zahlungsunfähigkeit des Unternehmens in Betracht ziehen.

Allerdings brauche es zum Nachweis der negativen wirtschaftlichen Situation objektiver Beweise – es müssen beispielsweise Finanzdaten vorgelegt, ein kausaler Zusammenhang zwischen der Zahlung des Bußgeldes und einem daraus resultierenden erheblichen Wertverlust des Unternehmens aufgezeigt sowie Pläne zur Restrukturierung aufgeführt werden.

Bei der abschreckenden Wirkung wird sich der weite Spielraum der Behörde bemerkbar machen. Denn um diese zu erzielen, scheint die Angleichung des Betrages nach oben naheliegend und effektiv.

Fazit

Im Ergebnis lässt es sich schwer vorhersagen, wie hoch die Bußgelder tatsächlich ausfallen werden, da das Ermessen der Behörden weit ist. Allerdings werden sie – sofern die Leitlinien Bestand haben – gerade für große Unternehmen mit hohem Jahresumsatz höher ausfallen.

Einige der Zumessungsfaktoren hat der EDSA aber nicht sachgerecht gewichtet. Fehlende „Vorstrafen“ als neutralen Zumessungsfaktor einzustufen, zeugt von fehlendem Verständnis strafrechtlicher Steuerungsprinzipien. Dabei hätte der Ausschuss auch dem Umstand Rechnung tragen können, dass die DSGVO viele Generalklauseln enthält und die Auslegung im Einzelnen oftmals umstritten ist.

Verpasst hat der Ausschuss darüber hinaus die Möglichkeit, Datenschutzbußgelder über die allgemeinen Bußgelder hinaus „auszubalancieren“. Dazu hätte der EDSA in den Leitlinien Kriterien für die Verhängung einer „Verwarnung“ anstelle eines Bußgelds (Art. 58 Abs. 2 DSGVO) formulieren können. Dies hätte der Steuerungswirkung der DSGVO eine gesteigerte Glaubwürdigkeit verliehen und den Grundsatz „Verwarnung für leichte Erstverstöße“ festgeschrieben. Mit den nunmehr festgelegten Leitlinien, die zunächst eine Ausgangshöhe ermitteln, wird diese Möglichkeit in der Praxis immer weiter in den Hintergrund geraten.

Nicht ohne Grund gibt es daher auch starke Kritik an den Leitlinien. Im laufenden Konsultationsverfahren wird u.a. die fehlende Verhältnismäßigkeit der Leitlinien gerügt. Aber auch die Überbetonung des Gesamtumsatzes stößt auf Widerspruch.

Trotz und gerade wegen der Kritik kann allerdings festgehalten werden, dass die Leitlinien das Datenschutzrecht im Bußgeldbereich stärker an das Strafrecht annähern. Insbesondere die Abgrenzungen zur Frage, wie viele Verstöße vorliegen ist an die Konkurrenzenlehre im Strafrecht angelehnt. Im Falle eines Bußgeldverfahrens bieten sich im Einzelfall immense Verteidigungsmöglichkeiten, mit denen sich alle Datenschützer vertraut machen sollten.