DQS im Dialog
DQS Website Abonnieren

Buẞgeldkatalog DS-GVO: Stellungnahme Bitkom

Bußgelder nach der DSGVO: Im Oktober 2019 hat die Datenschutzkonferenz (DSK) ihr „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) vorgelegt. Der Digitalverband Deutschlands, Bitkom, hatte nach Veröffentlichung eine Kommentierung des Konzepts für Sanktionen gegen Datenschutzverstöße angekündigt und zwischenzeitlich auch herausgegeben. In diesem Blogbeitrag lesen Sie eine Zusammenfassung der wichtigsten Punkte.
© www.stock.adobe.com DSGVO Bußgelder - mit welcher Strafe kann man rechnen?

Zum Zeitpunkt des Erscheinens des Konzeptes betonte die Datenschutzkonferenz, dass der Katalog für Bußgelder nach der DSGVO auf Fortentwicklung angelegt sei. Hintergrund hierfür seien die noch laufenden europaweiten Abstimmungen mit dem Ziel einer Leitlinie des Europäischen Datenschutzausschusses (EDSA). Sobald diese erscheint, verliert das Konzept der DSK ihre Gültigkeit.

„Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“

PDF zum Download auf der Internetseite der DSK

Welche Bemessungsgrundlagen, aber auch Schwächen oder Unklarheiten das Konzept zum Zeitpunkt der Veröffentlichung enthielt, können Sie in unserem Blogbeitrag DSGVO: Strafen bei Datenschutzverletzungen nachlesen.

Wie verbindlich ist das Buẞgeldkonzept?

Momentan durchaus verbindlich, denn das Konzept „betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO)“. Damit gilt es bei Verstößen gegen den Schutz personenbezogener Daten als aktuelle Leitlinie für die deutschen Aufsichts- bzw. Datenschutzbehörden und Datenschutzbeauftragten der Länder.

Buẞgeldmodell zur DS-GVO: Das sagt Bitkom

Grundsätzlich begrüßt Bitkom die Absicht der DSK, zu einer Vereinheitlichung der Aufsichtspraxis zu gelangen. Gleichwohl hält Bitkom eine Anpassung des Modells für erforderlich. Im Wesentlichen kritisiert Bitkom die Umsatzzentrierung des Bußgeldkonzeptes. Dadurch könne es zu einem „Wertungswiderspruch bei schwerwiegenden Vergehen begangen von kleinen Unternehmen und kleinen Verstößen von großen Unternehmen“ kommen.

Auf einen Blick: Bußgeldkonzept der DSK

Kommentierung des Bußgeldkonzepts der Datenschutzkonferenz (DSK) durch Bitkom

Datenschutzkonzept: So sollen Aufsichtsbehörden die Buẞgeldhöhe nach einem Datenschutzvorfall bestimmen

Wie viel Bußgeld droht wem bei Datenschutz-Verstößen? Das betroffene Unternehmen wird zuerst einer Größenklasse zugeordnet. Danach wird der mittlere erzielte Jahresumsatz des Unternehmens bestimmt und ein wirtschaftlicher Grundwert ermittelt. Dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert. Im Anschluss wird er anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst. Dieses Verfahren, so die DSK, garantiere eine nachvollziehbare, transparente und einzelfallgerechte Form der Zumessung von Geldbußen.

DSGVO Bußgeld: Kritik an der Bestimmung der Buẞgeldhöhe

Die Bußgeldhöhe wird aus den vorgenannten Schritten (beruhend auf dem Vorjahresumsatz des betroffenen Unternehmens) berechnet und ergibt einen Tagessatz. Dieser Tagessatz wird im nächsten Schritt mit einem Schweregradfaktor multipliziert, was zur Höhe der Strafen führt.

Hier hakt Bitkom ein und hält diesen Ansatz für nicht im Ordnungswidrigkeitsverfahren anwendbar: das Konzept des Tagessatzes sei durch §§ 46 Abs. 1 in Verbindung mit 1 Abs. 1 OWiG ausgeschlossen. Damit wirft Bitkom einen sicherlich nicht unerheblichen formaljuristischen Einwand in den Ring.

Problematisch: Umsatzzentrierung im Buẞgeldkonzept DSGVO

Zentraler Kritikpunkt von Bitkom ist, dass der Bezug auf den erzielten Jahresumsatz kein alleinig geeignetes Hauptkriterium für verhängte Sanktionen sein könne. Momentan scheine es, dass mit dem vorliegenden Modell umsatzstärkeren Unternehmen eher schärfere Sanktionen drohen könnten als umsatzschwächeren. Auch könnten bei strikter Nutzung des tabellarischen Mittelwertes kleinere Unternehmen, die an der unteren Grenze dieses Wertes liegen, benachteiligt werden.

Weiterhin fehle im Bußgeldkonzept ein Hinweis darauf, was geschieht, sollte ein Unternehmen noch keinen (Vorjahres-)Umsatz erwirtschaftet haben. Auch gehe aus dem Konzept nicht hervor, ob es sich um den Netto- oder Bruttoumsatz handelt.

DSGVO - Datenschutzaudit

Sie haben Fragen? Kontaktieren Sie uns!

Unverbindlich und kostenfrei die Informationen einholen, die Sie benötigen.

Anfrage jetzt senden

Bitkom: Bußgelder DS-GVO nur nach Einzelfallprüfung!

Bitkom kritisiert zudem, dass Art. 83 Absatz 2 DSGVO bei dem von der DSK vorgestellten Stufenmodell sowie bei der Berechnung eines Tagessatzes nicht genügend Anwendung findet.

„Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt (…)“

Artikel 83 DSGVO, Allgemeine Bedingungen für die Verhängung von Geldbußen

So mahnt Buchstabe a) des Artikels 83 an, dass „Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens“ berücksichtigt werden müssten.

Die Buchstaben b) bis k) liefern weitere Kriterien für die Einzelfallbewertung und stützen so die Forderung von Bitkom, dass eine ganze Reihe weiterer Faktoren in die Grundberechnung einzubeziehen sei.

Unerlässlich: Faktoren für die Einzelfallprüfung

Bitkom ist der Auffassung, dass im Bußgeldkonzept Informationen darüber fehlen, wie genau der Schwerefaktor eines Verstoßes ermittelt werden soll oder ob bereits leichte Verstöße ein Bußgeld nach sich ziehen.

Es sei auch notwendig, bereits bei der Erfassung eines Vorfalls zu unterscheiden, ob beispielsweise Daten zur Weitervermarktung bewusst verkauft oder ungenutzte Daten versehentlich zu lange gespeichert wurden.

Ohne diese Differenzierung entspricht das Vorgehen nach Meinung von Bitkom nicht der von der DS-GVO vorgesehenen Form der Sanktionierung, da sowohl das Schuldprinzip als auch der Einzelfall zu wenig Beachtung finden.

Vorschläge Bitkom: Anpassungen im Buẞgeldkonzept DS-GVO

Der Branchenverband benennt eine Reihe von Punkten, die seiner Meinung nach im Bußgeldkonzept nicht ausreichend Beachtung finden:

  • Den Umsatz als Hauptkriterium bei der Berechnung der Höhe des Bußgelds heranzuziehen, erscheint als nicht sinnvoll. Es müssen weitere Faktoren in die Grundberechnung mit einbezogen werden und zusätzliche Sanktionierungsmaßnahmen, z. B. nach Art. 58 DS-GVO, sowie nationale Regelungen genannt werden.
  • Es fehlt eine genauere Darstellung des Auswahlermessens, des Opportunitätsprinzips sowie weiterer anzuwendender „Werkzeuge“. Hier werfe das Bußgeldkonzept auch verfassungsrechtliche Fragen auf.
  • Die Verhältnismäßigkeit der Sanktionen (zum Beispiel Bußgeld) ist nicht durchgängig sichergestellt.
  • Der in Art. 83 Absatz 2 DSGVO festgelegte Blick auf den Einzelfall wird durch das Konzept nahezu ad absurdum geführt.
  • Das Konzept bezieht sich auf Unternehmen, jedoch ist zu erklären, wie es sich für private Überwachungsstellen, denen keine Rechts- oder Gesellschaftsform vorgeschrieben sind, verhält. Hierunter fallen beispielsweise Vereine.
  • Der Zusammenarbeit und Mithilfe des betroffenen Unternehmens wird nicht genügend Platz eingeräumt.

Bußgelder bei Verstößen gegen DSGVO: Fazit

Dem von der Datenschutzkonferenz vorgelegten Bußgeldkonzept bei Verstößen gegen den Datenschutz mangele es an Transparenz, so die Auffassung von Bitkom. Gleichzeitig widerspreche es in Teilen der DS-GVO.

„Das Bußgeld-Konzept der DSK widerspricht der DS-GVO und wirft verfassungsrechtliche Fragen auf.“

Zusammenfassende Bewertung des Bußgeld-Konzepts der DSK durch Bitkom

In der Datenschutzgrundverordnung werde der Umsatz eines betroffenen Unternehmens als Obergrenze herangezogen, nicht als Untergrenze der Sanktionierung. Auch sei der Blick zu wenig auf den individuellen Vorfall gerichtet. Eine Änderung des bestehenden Konzepts sei somit begrüßenswert. Die Zielsetzung müsse in einer EU-einheitlichen, wertungswiderspruchsfreien und angemessen Herangehensweise der Umsetzung und auch Durchsetzung der DS-GVO bestehen.

Bei der DQS in guten Händen

Unternehmen, die auf Nummer Sicher gehen und hohe Geldbußen vermeiden wollen, können ihren Datenschutz-Status z.B. in Form einer Gap-Analyse von der DQS ermitteln lassen. Im Mittelpunkt eines solchen Datenschutzaudits steht eine Selbstbewertung mit Dokumentenprüfung. Vor Ort im Unternehmen wird dann geprüft, ob wesentliche Datenschutzaspekte eingehalten werden.

Oder Sie erbringen den Nachweis zur Umsetzung datenschutzrechtlicher Vorschriften mithilfe der neuen Norm ISO 27701. Sie möchten mehr darüber erfahren? Dann kontaktieren Sie uns hier.