Bereits am 25.06.2019 hat die DSK – die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – ein Modell zur Bußgeldberechnung bei Datenschutzverstößen veröffentlicht. Bisher haben wir dieses Thema nicht groß aufgegriffen, sondern nur vereinzelt vor Ort angesprochen, weil das Berechnungsschema aus unserer Sicht noch unausgereift schien – die Verhältnismäßigkeit der Strafen, wie in Art. 83 Abs. 1 DSGVO gefordert, schien für uns nicht gegeben. Zudem handelte es sich auch offiziell um einen Entwurf.
Nun hat die DSK am 14.10.2019 ein offizielles Konzept zur Bußgeldermittlung veröffentlicht. Grund genug uns damit nochmal tiefgehender zu beschäftigen.
In der Veröffentlichung heißt es: „Vor diesem Hintergrund erfolgt die Bußgeldzumessung in Verfahren gegen Unternehmen in fünf Schritten. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).“
Schaut man sich die 8 Seiten der DSK-Veröffentlichung an, scheint das neue Modell rechnerisch verständlich, auch wenn der letzte Punkt, der mögliche Zu- und Abschläge auf Basis von Art. 83 Abs. 2 DSGVO ermöglicht, das Ergebnis genauso offenlässt, wie zuvor.
Immerhin wird auf Seite 8 der Veröffentlichung darauf hingewiesen, dass zur Betrachtung der Strafhöhe neben den Punkten aus Art. 83 Abs. 2 DSGVO auch der Punkt einer „langen Verfahrensdauer“ beachtet werden soll, was entweder bedeuten kann, dass die eigene Mitarbeit zur Aufklärung sich auf die Strafe auswirkt, was wir am „Knuddels-Fall“ in 2018 gemerkt haben, oder es bedeutet, dass die Strafe in einem gewissen Rahmen „verhandelbar“ sein wird, wenn diese im Anschluss akzeptiert wird und kein langwieriger Rechtsstreit daraus entsteht.
Auch versucht die DSK den Unternehmen die Angst vor drakonischen Strafen zu nehmen. Bereits in unseren Schulungen haben wir darauf hingewiesen, dass die Strafen abschreckend wirken sollen, aber auch verhältnismäßig sein müssen. Es kann daher nicht sein, dass die Strafe das Unternehmen in ernste finanzielle Schwierigkeiten bringt. So endet auch die Veröffentlichung der DSK mit dem Hinweis, dass „eine drohende Zahlungsunfähigkeit des Unternehmens“ als Kriterium in die Berechnungsumstände einfließen soll.
Es bleibt nun Sache der Aufsichtsbehörden diesen Rahmen mit Leben zu füllen und die Anwendbarkeit dieses Rahmenwerks zu bestätigen. Insgesamt sehen wir die Veröffentlichung mit gemischten Gefühlen. Einerseits ist positiv zu betrachten, dass damit nun ein nachvollziehbarer Rahmen für die Strafen abgesteckt wird, andererseits sehen wir die vielen offenen Punkte, die nicht abschließend geklärt sind und damit eine gewisse Rechtsunsicherheit darstellen, die letztlich zum Risiko für die Unternehmen werden.
Lassen Sie uns also nach bestem Wissen und Gewissen an der Umsetzung der gesetzlichen Vorgaben in Ihrem Unternehmen arbeiten, damit es hoffentlich erst gar nicht so weit kommt, dass wir mit der Aufsichtsbehörde über ein mögliches Strafmaß diskutieren müssen.
