DQS im Dialog
DQS Website Abonnieren

DSGVO Bußgeld: Stellungnahme der Bitkom am Konzept

Bußgelder nach der DSGVO: Im Oktober 2019 hat die Datenschutzkonferenz (DSK) ihr „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ im Anwendungsbereich der Datenschutz-Grundverordnung vorgelegt. Der Digitalverband Deutschlands, Bitkom, hat nach Veröffentlichung eine Kommentierung des Konzepts für Sanktionen gegen Datenschutzverstöße herausgegeben. In diesem Blogbeitrag lesen Sie eine Zusammenfassung der wichtigsten Punkte.
© www.stock.adobe.com DSGVO Bußgelder - mit welcher Strafe kann man rechnen?

Zum Zeitpunkt des Erscheinens des Konzeptes betonte die Datenschutzkonferenz, dass der Katalog für Bußgelder nach der DSGVO auf Fortentwicklung angelegt sei. Hintergrund hierfür seien die noch laufenden europaweiten Abstimmungen mit dem Ziel einer Leitlinie des Europäischen Datenschutzausschusses (EDSA). Sobald diese erscheint, verliert das Konzept der DSK ihre Gültigkeit.

„Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“

PDF zum Download auf der Internetseite der DSK

Wie verbindlich ist das Konzept?

Momentan durchaus verbindlich, denn das Konzept der DSK „betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung“. Damit gilt das Konzept bei Verstößen gegen den Schutz personenbezogener Daten als aktuelle Leitlinie für die deutschen Aufsichts- bzw. Datenschutzbehörden und Datenschutzbeauftragten der Länder.

DS-GVO: Strafen bei Datenschutzverletzungen

Welche Bemessungsgrundlagen, aber auch Schwächen oder Unklarheiten das Konzept enthält, können Sie in unserem Blogbeitrag „DS-GVO: Strafen bei Datenschutzverletzungen“ nachlesen.

Buẞgeldmodell zur DS-GVO: Das sagt Bitkom

Grundsätzlich begrüßt Bitkom die Absicht der DSK, zu einer Vereinheitlichung der Aufsichtspraxis zu gelangen. Gleichwohl hält Bitkom eine Anpassung des Modells für erforderlich. Im Wesentlichen kritisiert Bitkom die Umsatzzentrierung des Konzeptes für Sabktionen. Dadurch könne es zu einem „Wertungswiderspruch bei schwerwiegenden Vergehen begangen von kleinen Unternehmen und kleinen Verstößen von großen Unternehmen“ kommen.

Auf einen Blick: Bußgeldkonzept der DSK

Kommentierung des Bußgeldkonzepts der Datenschutzkonferenz (DSK) durch Bitkom

Datenschutzkonzept: So sollen Aufsichtsbehörden die Buẞgeldhöhe nach einem Datenschutzvorfall bestimmen

Wie viel Strafgeld droht wem bei Datenschutz-Verstößen? Das betroffene Unternehmen wird zuerst einer Größenklasse zugeordnet. Danach wird der mittlere erzielte Jahresumsatz des Unternehmens bestimmt und ein wirtschaftlicher Grundwert ermittelt. Dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert. Im Anschluss wird er anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst. Dieses Verfahren, so die DSK, garantiere eine nachvollziehbare, transparente und einzelfallgerechte Form der Zumessung von Geldbußen.

Kritik an der Bestimmung der Buẞgeldhöhe

Das Strafmaß wird aus den vorgenannten Schritten (beruhend auf dem Vorjahresumsatz des betroffenen Unternehmens) berechnet und ergibt einen Tagessatz. Dieser Tagessatz wird im nächsten Schritt mit einem Schweregradfaktor multipliziert, was zur Höhe der Strafen führt.

Hier hakt Bitkom ein und hält diesen Ansatz für nicht im Ordnungswidrigkeitsverfahren anwendbar: das Konzept des Tagessatzes sei durch §§ 46 Abs. 1 in Verbindung mit 1 Abs. 1 OWiG ausgeschlossen. Damit wirft Bitkom einen sicherlich nicht unerheblichen formaljuristischen Einwand in den Ring.

Problematisch: Umsatzzentrierung im Konzept der DSK

Zentraler Kritikpunkt von Bitkom ist, dass der Bezug auf den erzielten Jahresumsatz kein alleinig geeignetes Hauptkriterium für verhängte Sanktionen sein könne. Momentan scheine es, dass mit dem vorliegenden Modell umsatzstärkeren Unternehmen eher schärfere Sanktionen drohen könnten als umsatzschwächeren. Auch könnten bei strikter Nutzung des tabellarischen Mittelwertes kleinere Unternehmen, die an der unteren Grenze dieses Wertes liegen, benachteiligt werden.

Weiterhin fehle im Konzept der DSK ein Hinweis darauf, was geschieht, sollte ein Unternehmen noch keinen (Vorjahres-)Umsatz erwirtschaftet haben. Auch gehe aus dem Konzept nicht hervor, ob es sich um den Netto- oder Bruttoumsatz handelt.

DSGVO - Datenschutzaudit

Sie haben Fragen? Kontaktieren Sie uns!

Unverbindlich und kostenfrei die Informationen einholen, die Sie benötigen.

Anfrage jetzt senden

Bitkom: Bußgelder nur nach Einzelfallprüfung!

Bitkom kritisiert zudem, dass Art. 83 Absatz 2 DS-GVO bei dem von der DSK vorgestellten Stufenmodell sowie bei der Berechnung eines Tagessatzes nicht genügend Anwendung findet.

„Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt (…)“

Artikel 83 DSGVO, Allgemeine Bedingungen für die Verhängung von Geldbußen

So mahnt Buchstabe a) des Artikels 83 an, dass „Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens“ berücksichtigt werden müssten.

Die Buchstaben b) bis k) liefern weitere Kriterien für die Einzelfallbewertung und stützen so die Forderung von Bitkom, dass eine ganze Reihe weiterer Faktoren in die Grundberechnung einzubeziehen sei.

Unerlässlich: Faktoren für die Einzelfallprüfung

Bitkom ist der Auffassung, dass im Bußgeldkonzept Informationen darüber fehlen, wie genau der Schwerefaktor eines Verstoßes ermittelt werden soll oder ob bereits leichte Verstöße ein Bußgeld nach sich ziehen.

Es sei auch notwendig, bereits bei der Erfassung eines Vorfalls zu unterscheiden, ob beispielsweise Daten zur Weitervermarktung bewusst verkauft oder ungenutzte Daten versehentlich zu lange gespeichert wurden.

Ohne diese Differenzierung entspricht das Vorgehen nach Meinung von Bitkom nicht der von der DS-GVO vorgesehenen Form der Sanktionierung, da sowohl das Schuldprinzip als auch der Einzelfall zu wenig Beachtung finden.

Vorschläge Bitkom: Anpassungen im DSGVO Buẞgeld-Konzept

Der Branchenverband benennt eine Reihe von Punkten, die seiner Meinung nach im Bußgeldkonzept nicht ausreichend Beachtung finden:

  • Den Umsatz als Hauptkriterium bei der Berechnung der Höhe des Bußgelds heranzuziehen, erscheint als nicht sinnvoll. Es müssen weitere Faktoren in die Grundberechnung mit einbezogen werden und zusätzliche Sanktionierungsmaßnahmen, z. B. nach Art. 58 DS-GVO, sowie nationale Regelungen genannt werden.
  • Es fehlt eine genauere Darstellung des Auswahlermessens, des Opportunitätsprinzips sowie weiterer anzuwendender „Werkzeuge“. Hier werfe das Bußgeldkonzept auch verfassungsrechtliche Fragen auf.
  • Die Verhältnismäßigkeit der Sanktionen (zum Beispiel Bußgeld) ist nicht durchgängig sichergestellt.
  • Der in Art. 83 Absatz 2 DSGVO festgelegte Blick auf den Einzelfall wird durch das Konzept nahezu ad absurdum geführt.
  • Das Konzept bezieht sich auf Unternehmen, jedoch ist zu erklären, wie es sich für private Überwachungsstellen, denen keine Rechts- oder Gesellschaftsform vorgeschrieben sind, verhält. Hierunter fallen beispielsweise Vereine.
  • Der Zusammenarbeit und Mithilfe des betroffenen Unternehmens wird nicht genügend Platz eingeräumt.

Stellungnahme der Bitkom: Fazit

Dem von der Datenschutzkonferenz (DSK) vorgelegten Konzept bei Verstößen gegen den Datenschutz mangele es an Transparenz, so die Auffassung von Bitkom. Gleichzeitig widerspreche es in Teilen der DS-GVO.

„Das Bußgeld-Konzept der DSK widerspricht der DS-GVO und wirft verfassungsrechtliche Fragen auf.“

Zusammenfassende Bewertung des Bußgeld-Konzepts der DSK durch Bitkom

In der Datenschutzgrundverordnung werde der Umsatz eines betroffenen Unternehmens als Obergrenze herangezogen, nicht als Untergrenze der Sanktionierung. Auch sei der Blick zu wenig auf den individuellen Vorfall gerichtet. Eine Änderung des bestehenden Konzepts sei somit begrüßenswert. Die Zielsetzung müsse in einer EU-einheitlichen, wertungswiderspruchsfreien und angemessen Herangehensweise der Umsetzung und auch Durchsetzung der DS-GVO bestehen.

Bei der DQS in guten Händen

Unternehmen, die auf Nummer Sicher gehen und hohe Geldbußen vermeiden wollen, sollten ein Datenschutzmanagementsystem einführen. Da erscheint die Nutzung eines vorhandenen Managementsystems zum Beispiel nach ISO 9001 bestens geeignet, dies gleich mit Informationssicherheit und Datenschutz zu verbinden. Der Weg führt über eine Einführung eines Informationssicherheits-Managementsystems nach ISO 27001 direkt zur Erweiterung nach ISO 27701 und damit zum Datenschutz. Eine anschließende Zertifizierung kann bestätigen, dass die DSGVO-Anforderungen erfüllt werden. Also die optimale Lösung, um die gesetzlichen DSGVO-Anforderungen zu erfüllen.

In Sachen Zertifizierung ergänzt die neue Norm ISO 27701 künftig ISO 27001 – und sie wird die erste Norm sein, die den Datenschutz per Zertifikat bestätigt. Dafür befindet sich die DQS aktuell im Akkreditierungsverfahren bei der Deutschen Akkreditierungsstelle (DAkkS) und rechnet mit einer Zulassung im Sommer 2021. ISO 27701 ist allerdings nur in Verbindung mit ISo 27001 zertifizierbar.

ISIS12 Informationssicherheit

Gern beantworten wir Ihre Fragen

Wer ein Datenschutzmanagementsystem nach ISO 27701 entwickelt und umgesetzt hat, schützt seine personenbezogenen Daten systematisch – und tut sich leicht, die Einhaltung gesetzlicher Bestimmungen sicherzustellen und zu belegen. Informieren Sie sich über die Möglichkeiten einer Zertifizierung.

Jetzt Kontakt aufnehmen