DSK schafft “Bußgeldkatalog” für Datenschutzverstöße

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) hat im Oktober ein Konzept zur Bußgeldzumessung für Datenschutzverstöße von Unternehmen festgelegt. Das Konzept dient den Datenschutz-Aufsichtsbehörden als „Leitfaden“ bei der Festsetzung von Geldbußen in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO). Es kann daher bei Klärung der Frage, welche Geldbuße ein Unternehmen für einen konkreten Datenschutzverstoß zu erwarten hat, als Orientierung genutzt werden. Keine Anwendung findet das Konzept auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit.

Grundsätzlich stellt die DSK auf den Umsatz eines Unternehmens als geeignete, sachgerechte und faire Anknüpfungsbasis zur Bemessung von Geldbußen ab, um sicherzustellen, dass diese wirksam, verhältnismäßig und abschreckend sind. Vor diesem Hintergrund erfolgt die Bußgeldzumessung nach dem Konzept der DSK in folgenden fünf Schritten:

1. Schritt: Zuordnung zu Größenklasse anhand von Umsatz

Das betroffene Unternehmen wird anhand seiner – am Umsatz gemessenen – Größe einer konkreten Größenklasse zugeordnet. Bei Bestimmung des Umsatzes ist auf den gesamten weltweit erzielten Vorjahresumsatz des betreffenden Unternehmens abzustellen. Zur Einordnung stehen vier Größenklassen mit jeweils bis zu sieben Unterklassen zur Auswahl. Die Klassifikation hat die DSK wie folgt gebildet:

  • A – Kleinstunternehmen (Jahresumsatz bis 2,0 Mio. Euro)
    • I – Jahresumsatz bis 700.000,00 Euro
    • II – Jahresumsatz über 700.000,00 Euro bis 1,4 Mio. Euro
    • III – Jahresumsatz über 1,4 Mio. bis 2,0 Mio. Euro
  • B – kleine Unternehmen (Jahresumsatz 2,0 bis 10,0 Mio. Euro)
    • I – Jahresumsatz über 2,0 bis 5,0 Mio. Euro
    • II – Jahresumsatz über 5,0 bis 7,5 Mio. Euro
    • III – Jahresumsatz über 7,5 Mio. bis 10,0 Mio. Euro
  • C – mittlere Unternehmen (Jahresumsatz 10,0 bis 15,0 Mio. Euro)
    • I – Jahresumsatz über 10,0 bis 12,5 Mio. Euro
    • II – Jahresumsatz über 12,5 bis 15,0 Mio. Euro
    • III – Jahresumsatz über 15,0 bis 20,0 Mio. Euro
    • IV – Jahresumsatz über 20,0 bis 25,0 Mio. Euro
    • V – Jahresumsatz über 25,0 Mio. bis 30,0 Mio. Euro
    • VI – Jahresumsatz über 30,0 bis 40,0 Mio. Euro
    • VII – Jahresumsatz über 40,0 bis 50,0 Mio. Euro
  • D – Großunternehmen (Jahresumsatz über 50,0 Mio. Euro)
    • I – Jahresumsatz über 50,0 bis 75,0 Mio. Euro
    • II – Jahresumsatz über 75,0 bis 100,0 Mio. Euro
    • III – Jahresumsatz über 100,0 bis 200,0 Mio. Euro
    • IV – Jahresumsatz über 200,0 bis 300,0 Mio. Euro
    • V – Jahresumsatz über 300,0 bis 400,0 Mio. Euro
    • VI – Jahresumsatz über 400,0 bis 500,0 Mio. Euro
    • VII – Jahresumsatz über 500,0 Mio. Euro

2. Schritt: Bestimmung des mittleren Jahresumsatzes

Für jede der im ersten Schritt gebildeten Größenklassen wird von der DSK anschließend der mittlere Jahresumsatz ermittelt. Dieser liegt jeweils exakt in der Mitte der Umsatz-Bandbreite der jeweiligen Größenklasse. Für die Klasse A.I bspw. (Jahresumsatz bis 700.000,00 Euro) liegt der mittlere Jahresumsatz bei 350.000,00 Euro; für die Größenklasse C.IV (Jahresumsatz über 20,0 bis 25,0 Mio. Euro) beträgt der mittlere Jahresumsatz 22,5 Mio. Euro.

3. Schritt: Ermittlung des wirtschaftlichen Grundwertes

Im nächsten Schritt ermittelt die DSK für jede Größenklasse einen wirtschaftlichen Grundwert, indem sie den jeweils gebildeten mittleren Jahresumsatz jeweils durch 360 (Tage) teilt. Die so ermittelte Zahl, die auf die Vorkommastelle aufzurunden ist, wird von der DSK als „Tagessatz“ bezeichnet.

Mittlerer Jahresumsatz & wirtschaflicher Grundwert

Größenklasse

Mittlerer Umsatz in €

Grundwert („Tagessatz“) in €

A.I

  350.000

          972

A.II

1.050.000

       2.917

A.III

1.700.000

       4.722

B.I

3.500.000

       9.722

B.II

6.250.000

     17.361

B.III

8.750.000

     24.306

C.I

11.250.000

     31.250

C.II

13.750.000

     38.194

C.III

17.500.000

     48.611

C.IV

22.500.000

     62.500

C.V

27.500.000

     76.389

C.VI

35.000.000

     97.222

C.VII

45.000.000

   125.000

D.I

62.500.000

   173.611

D.II

87.500.000

   243.056

D.III

150.000.000

   416.667

D.IV

250.000.000

   694.444

D.V

350.000.000

   972.222

D.VI

450.000.000

1.250.000

D.VII

Konkreter Jahresumsatz

Konkreter Tagessatz

4. Schritt: Bewertung des „Schweregrades“ der Tat

Im vierten Schritt des Bußgeldkonzeptes beginnt die DSK schließlich mit der Bewertung des konkret zu sanktionierenden Verstoßes. Diesem wird hierzu ein Schweregrad zugeordnet (leicht, mittel, schwer oder sehr schwer). Anhand des jeweils festgelegten Schweregrades wird der im dritten Schritt gebildete Grundwert mit einem bestimmten Faktor multipliziert. Hierbei gelten folgende Richtwerte:

Schweregrad der Tat

Faktor für formelle Verstöße

(Art. 83 Abs. 4 DSGVO)

Faktor für materielle Verstöße

(Art. 83 Abs. 5, 6 DSGVO)

leicht

1 – 2

1 – 4

mittel

2 – 4

4 – 8

schwer

4 – 6

8 – 12

sehr schwer

mehr als 6

mehr als 12

5. Schritt: Anpassung des Grundwertes anhand sonstiger Umstände

Der im vierten Schritt errechnete Betrag wird schließlich im letzten Schritt anhand einer für und gegen den Betroffenen entsprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden.

Einzelheiten zum Bußgeldkonzept können in den Erläuterungen der DSK nachgelesen werden.

Kommentar verfassen