Berechnung von Bußgeldern - 23. Oktober 2020

Unglückliches Konzept

Die deutschen Datenschutzaufsichtsbehörden haben im Oktober 2019 ihr Modell für Sanktionen bei Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) vorgestellt. Die dort vorgenommene Einteilung in Kategorien wird zu Recht heftig kritisiert.

Mit einem Bußgeld von über 35 Mio. Euro hat zwischenzeitlich auch eine deutsche Datenschutzaufsichtsbehörde klar gemacht, dass Verstöße gegen die DS-GVO auch hierzulande hart sanktioniert werden. Dies ist aktuell eines der höchsten in der Europäischen Union verhängten Bußgelder wegen eines Verstoßes gegen den Datenschutz. Bereits zuvor sind in Deutschland Bußgelder über 14,5 Mio., rund 10 Mio. und 1,24 Mio. Euro verhängt worden. Aber auch kleinere Bußgelder können je nach Größe des Unternehmens schmerzhaft sein. Mit dem Konzept zur Bemessung von Geldbußen wollten die deutschen Datenschutzaufsichtsbehörden einen Beitrag zur Transparenz leisten hinsichtlich der Durchsetzung des Datenschutzrechts. Das war jedenfalls der seinerzeit veröffentlichten Pressemitteilung zu entnehmen. Das Konzept soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen. Mit der Anknüpfung an den Umsatz eines Unternehmens bei der Bußgeldzumessung unterstützt das Konzept den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen. Dieses Modell zur Bestimmung des Bußgelds kommt aber nur bei Sanktionen gegen Unternehmen zur Anwendung. Den Begriff Unternehmen will die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) gemäß Erwägungsgrund 150 DS-GVO entsprechend dem im EU-Kartellrecht entwickelten sogenannten funktionalen Unternehmensbegriff im Sinne der Artikel 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) auslegen. Das bedeutet, dass nicht nur der Umsatz des verstoßenden Unternehmens sondern der Gesamtumsatz eines Unternehmensverbunds zugrunde gelegt werden kann. Die Berechnung erfolgt in fünf Schritten, wobei die ersten drei Schritte nur aus Gründen der Nachvollziehbarkeit nicht in einem Schritt zusammengefasst sind.

Einteilung in Größenklassen

In einem ersten Schritt werden die Unternehmen zu einer von vier Größenklassen zugeordnet. Die Größenklassen gliedern sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen (vgl. Art. 83 Abs. 4 bis 6 DS-GVO) und sind unterteilt in Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Großunternehmen. Die Größeneinordnung der KMU orientiert sich hinsichtlich des Vorjahresumsatzes grundsätzlich an der Empfehlung der Kommission vom 6. Mai 2003 (2003/361/EG). Damit sieht das Konzept die Größenklassen A mit einem Jahresumsatz bis zwei Millionen Euro, B mit einem Jahresumsatz über zwei bis zehn Millionen Euro, C mit einem Jahresumsatz über zehn bis 50 Millionen Euro und D mit einem Jahresumsatz über 50 Millionen Euro vor. Diese Größenklassen werden wiederum zur konkreteren Einordnung der Unternehmen nochmals in Untergruppen unterteilt (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII). Somit ergeben sich insgesamt 20 Kategorien, in die das jeweilige Unternehmen entsprechend seines Umsatzes eingeordnet werden kann.

Wirtschaftlicher Grundwert

Im nächsten Schritt wird dann der mittlere Jahresumsatz des Unternehmens in der jeweiligen Untergruppe seiner Größenklasse ermittelt. Dieser Jahresumsatz dient eigentlich nur zur Veranschaulichung des wirtschaftlichen Grundwerts, der dann in den nachfolgenden Schritten ermittelt wird. Der Ausgangswert ist in der niedrigsten Gruppe mit einem Jahresumsatz bis 700.000 dann 350.000 Euro und in der höchsten Gruppe mit einem Jahresumsatz des Unternehmens von mehr als 500 Millionen Euro der konkrete Jahresumsatz des Unternehmens. Der so ermittelte Jahresumsatz der jeweiligen Kategorie dient aber nun der Festsetzung des wirtschaftlichen Grundwerts.  Dieser Grundwert wird im dritten Schritt ermittelt, indem der mittlere Jahresumsatz durch 360 Tage geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet wird. Dieser Grundwert beträgt in der niedrigsten Gruppe mit einem Jahresumsatz bis 700.000 Euro dann 972 Euro, während er in der höchsten Gruppe mit einem Jahresumsatz des Unternehmens von mehr als 500 Millionen Euro der konkret errechnete Tagessatz ist. Zur Verdeutlichung sei angeführt, dass dies in der zweithöchsten Gruppe mit einem Jahresumsatz von über 400 bis 500 Millionen Euro dann 1,25 Millionen Euro sind. Der Vorteil dieses eher mathematischen Ansatzes kann darin bestehen, dass ein Bedarf an Rückstellungen für eventuelle Bußgeldzahlungen leichter ermittelt werden kann. Allerdings bedarf es hierfür natürlich einer Bewertung des Vorfalls anhand der Regelungen der DS-GVO. Bei einer solchen Bewertung besteht die Gefahr, dass zu großzügig verfahren wird oder weitere Verstöße aufgrund der Komplexität der DS-GVO übersehen werden. Denn hier gilt: Ein Verstoß kommt selten allein.

Tatbezogene Umstände

Die tatbezogenen Umstände des Einzelfalls kommen erst im vierten Schritt zum Tragen, und zwar durch Multiplikation des Grundwerts mittels eines von der Schwere der Tatumstände abhängigen Faktors. Dabei erfolgt eine Einordnung anhand des Schweregrads in leicht, mittel, schwer oder sehr schwer. Für diese Einordnung wird der Kriterienkatalog des Art. 83 Abs. 2 DS-GVO herangezogen. Dem Schweregrad ist jeweils ein Faktor zugeordnet, mit dem der Grundwert multipliziert wird. Hier wird dann zwischen formellen und materiellen Regelungen differenziert. Grund für diese Differenzierung zwischen Verstößen gegen formelle Regelungen aus dem Art. 83 Abs. 4 DS-GVO und materiellen Regelungen des Art. 83 Abs. 5, 6 DS-GVO sind die unterschiedlichen Bußgeldrahmen. Dazu werden in zwei Spalten der Tabelle unterschiedliche Faktoren festgelegt. Die in vier Abstufungen vorgesehenen Multiplikatoren sind bei formellen Verstößen 1 bis 6 und bei materiellen Verstößen 1 bis 12. Allerdings reicht die Bandbreite des Faktors bei einem Verstoß gegen eine materielle Regelung mittlerer Schwere von 4 bis 8, womit auch innerhalb des Schweregrads weitere Abstufungen erfolgen können und müssen. Bei einer sehr schweren Tat – so das Konzept – ist zu beachten, dass der einzelfallbezogene Bußgeldrahmen nicht infolge des ausgewählten Multiplikationsfaktors überschritten wird.

Täterbezogene Umstände

Im fünften Schritt erfolgt anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände eine Anpassung des Werts, der im vorangegangenen Schritt ermittelt wurde. Der im vierten Schritt berechnete Wert wird anhand aller für und gegen das Unternehmen sprechenden Umstände angepasst, soweit diese noch nicht berücksichtigt wurden. Das sollen insbesondere sämtliche täterbezogenen Umstände des Kriterienkatalogs in Art. 83 Abs. 2 DS-GVO sowie sonstige Umstände, wie etwa eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens, sein. Das gegen die AOK Baden-Württemberg verhängte Bußgeld ist ein Beispiel dafür, dass aufgrund weiterer Aspekte eine Anpassung der Sanktion möglich ist.

Taktisches Verhalten

Bei der Berechnung des Bußgelds kann man leicht den Überblick verlieren. Man muss zwar kein Mathematiker sein, auch wenn dieser Eindruck entstehen könnte, weil bei einigen Schritten rechnerische Zuordnungen getroffen werden und im vierten Schritt sogar eine Multiplikation erfolgt. Auf der anderen Seite aber ist die Berechnung des Bußgelds mit Blick auf den Grundwert nicht kompliziert und auch nicht nur eine Rechenaufgabe.

Die voranstehenden Schritte 1 bis 3 hätten auch in einem Schritt erfolgen können, denn dort wird nichts berechnet. Aber bei der von mir vorgenommenen Gliederung werden die Überlegungen der Aufsichtsbehörden nachvollziehbar. Ein wesentlicher Aspekt der taktischen Bewertung ist die grundlegende Analyse des Vorfalls. Denn in der DS-GVO gilt, dass ein Verstoß selten allein kommt. Aber auch die Ausrede wird schnell zur eigentlichen Stolperfalle. Das hat seinen Grund im Aufbau der DS-GVO: Jeder Zulässigkeitsbewertung ist durch eine Dokumentations- und Transparenzpflicht abgesichert, jede Handlungspflicht durch zumindest Organisationspflichten. Das zeigt sich nicht immer auf den ersten Blick und erfordert ein gutes Verständnis des Gesetzes. Das Risiko besteht also darin, dass bereits in den ersten Schritten beim Umgang mit Verstößen gegen die DS-GVO unbedacht zusätzliche, weitergehende Fehler gemacht werden, die eine Verteidigung beeinträchtigen können. Wenn einem Unternehmen nun ein Bußgeld droht, müssen zur Verteidigung die voranstehend skizzierten Schritte 4 und 5 von vorneherein ins Auge gefasst werden. Bei der Ermittlung des Grundwerts lässt sich – wenngleich in beschränkterem Maße – über die Anwendung des sogenannten funktionalen Unternehmensbegriffs sowie dessen Bedeutung für die Ermittlung des Umsatzes diskutieren. Ein mittelschwerer Verstoß gegen die Auskunftspflicht kann bei einem Umsatz von knapp unter 500 Millionen Euro nämlich zu einem Bußgeld in Höhe von 6,25 beziehungsweise 7,5 Millionen Euro führen.

Funktionaler Unternehmensbegriff

Die deutschen Aufsichtsbehörden wollen bei der Bemessung des Bußgelds den Begriff Unternehmen in Art. 83 DS-GVO als sogenannten funktionalen Unternehmensbegriff im Sinne des EU-Kartellrechts ausgelegt sehen. Sie führen hierfür den Erwägungsgrund 150 der DS-GVO an. Dieser Begriff ist nicht ganz einfach zu erfassen, löst aber Effekte aus, die man sich bewusst machen muss. Denn der Begriff führt dazu, dass für die Bestimmung des Umsatzes nicht auf den konkreten Rechtsträger abgestellt wird, der den Verstoß begangen hat, sondern der Umsatz der verbundenen Unternehmen mitberücksichtigt wird. Dafür genügt zwar nicht jede Beteiligung, aber mit einer zunehmenden Beteiligung steigt die Indizwirkung. Auch andere Kriterien können beachtlich sein. De facto befindet sich der Adressat der Sanktion in einer Situation, darlegen zu müssen, dass und warum beteiligte Unternehmen nicht im Rahmen des Umsatzbegriffs berücksichtigt werden dürfen. Der Effekt kann heftig sein, wenn ein Unternehmen mit einem Umsatz von 500.000 Euro einen Verstoß begeht, an dem ein Unternehmen mit einem Umsatz von zehn Millionen Euro mehrheitlich beteiligt ist und an diesem wiederum ein Unternehmen mit 500 Millionen Euro Umsatz mehrheitlich beteiligt ist.

Gefahr einer gesamtschuldnerischen Haftung

Letztendlich führt der funktionelle Unternehmensbegriff mit Blick auf die Sanktion zu einer Art gesamtschuldnerischer Haftung aller beteiligten Unternehmen beziehungsweise auch dazu, dass für die Bußgelder nicht die konkret Handelnden des Unternehmens identifiziert und überführt werden müssen. Diesem Ansatz wurde jedoch jüngst in unserem Nachbarland Österreich entgegengetreten. Dort hat man das Bußgeld aufgehoben, weil im Rahmen von Ermittlung und Anklage eine Identifizierung des konkret Handelnden unterblieben war. Die Entscheidung in Österreich ist aber nicht als Präzedenzfall anzusehen, denn man darf nicht darauf vertrauen, dass am Ende eines Prozesses nicht doch der funktionale Unternehmensbegriff gilt. Daher ist es in einem potenziellen Verfahren geboten, mit Blick auf die Anwendung dieses Begriffs auch Sollbruchstellen im Auge zu behalten, um verfahrenstaktisch die richtigen Ankerpunkte setzen zu können. Ob ein solcher Anker dann greift, muss sich allerdings zeigen.

Fazit

Die Kritik an dem Konzept der Aufsichtsbehörden ist berechtigt, denn die Einteilung in Kategorien zur Bestimmung des Grundwerts ist viel zu ungenau. Zudem kann es auch vorkommen, dass beim vierten Schritt nur Multiplikatoren zur Anwendung kommen, die größer oder gleich 1 sind. Im Ergebnis ist diese Herangehensweise für den Adressaten des Bußgelds nachteilhaft, weil nicht die Aufsichtsbehörde eine Mindesthöhe entsprechend Schuld und Tat zu begründen hat, sondern der von der Sanktion Betroffene gegen den ermittelten Grundwert ankämpfen muss. Gerade auch aus diesem Grund muss ein Vorfall von Anfang an ernst genommen und grundlegend hinterfragt werden.

Zum Autor

JE
Dr. Jens Eckhardt

Rechtsanwalt und Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV), Compliance Officer (TÜV) und IT-Compliance Manager (TÜV) in der Kanzlei Eckhardt Rechtsanwälte Partnerschaft mbB in Düsseldorf

Weitere Artikel des Autors