Allgemeines zum Konzept
Die Datenschutzkonferenz (DSK) veröffentlichte im Oktober 2019 ihr Bußgeldkonzept für DSGVO-Verstöße, welches einen nicht abschließenden Katalog darstellt. Es findet ausschließlich auf Unternehmen Anwendung und gilt nicht für Vereine und natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit.
Außerdem bindet das Konzept weder in grenzüberschreitenden Fällen noch andere EU-Datenschutzbehörden oder Gerichte bei der Festlegung von Bußgeldern. Ebenso können die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder jederzeit eine Änderung, Erweiterung oder Aufhebung für die Zukunft beschließen. Darüber hinaus soll das Konzept nur so lange gültig sein, bis der EDSA eine abschließende Leitlinie zur Methodik der Festsetzung von Geldbußen erlässt.
Zum Bußgeld in vier Schritten
Der Umsatz
Zur Festlegung eines Bußgeldes kommt die Datenschutzbehörde nach dem vorliegenden Konzept in vier Schritten. Zunächst wird ein Unternehmen gemäß seinem weltweiten Vorjahresumsatz in eine von vier Großgruppen (Kleinstunternehmen (A), Kleinunternehmen (B), mittelständische Unternehmen (C), Großunternehmen (D)) eingeteilt. Die Einteilungen reichen von Umsatzgrößen bis 2 Mio. €, 2 bis 10 Mio. €, 10 bis 50 Mio. € und über 50 Mio. €. Diese Großgruppen unterteilen sich in weitere Untergruppen – insgesamt 20 –, immer orientiert an Umsatzgrößen.
Nach Einordnung eines Unternehmens nach seinem Gesamtvorjahresumsatz wird in einem zweiten Schritt das Unternehmen in eine Gruppe nach seinem mittleren Jahresumsatz eingeordnet, welcher nach der Tabelle 2 des DSK-Konzeptes zur Bildung des Grundwertes herangezogen wird.
Der Grundwert
Die Bildung dieses Grundwertes erfolgt in einem dritten Schritt durch Teilung des mittleren Jahresumsatzes durch 360 (Tage). Dieser Tagessatz wird auf die Vorkommastelle gerundet.
Der Muliplikator
In einem vierten Schritt wird dieser Tagessatz mit einem Multiplikator von 1 bis 12 multipliziert, wobei sich der Multiplikator gem. Art. 83 Abs. 2 DSGVO an den konkreten Umständen des Einzelfalls orientiert.
Die Fehler/Verstöße werden in einer Matrix einerseits in leichte, mittlere und schwere Verstöße eingeteilt sowie gemäß Art. 83 Abs. 4 DSGVO und Art. 83 Abs. 5 und 6 DSGVO in formelle und materielle Verstöße. Ein materieller Verstoß gegen die DSGVO – egal ob leicht, mittel oder schwer – wiegt dabei (fast) immer schwerer als ein formeller DSGVO-Verstoß.
So erklärt es sich auch, warum ein deutscher Immobilienkonzern kürzlich einen Bußgeldbescheid in Höhe von 14,5 Mio. € der Berliner Datenschutzbeauftragten bekam. Denn der Konzern hatte trotz Aufforderung der Datenschützer (Maßnahmen nach Art. 58 DSGVO), sensible Daten von ehemaligen Mietern zu löschen, die in deren Systemen jahrelang „lagerten“, nicht innerhalb eines Jahres gelöscht. Damit hatte der Konzern eklatant gegen Art. 83. Abs. 2 g) DSGVO verstoßen.
Das Gesamtbußgeld
Liegen mehrere Verstöße vor, so darf die Gesamtbußgeldsumme nicht höher sein als das Bußgeld des schwersten Verstoßes (Art. 83 Abs. 3 DSGVO).