Die Datenschutzkonferenz (DSK) hat ein Konzept zur Bemessung der Bußgeld-Höhe bei DSGVO-Verstößen veröffentlicht. Das Konzept ist hier als PDF downloadbar.
In einer parallel herausgegebenen Pressemitteilung teilt die DSK mit, dass der Entwurf
"im Wesentlichen die Vorgaben des Art. 83 der Datenschutz-Grundverordnung [ausgestalte] und (...) auf Fortentwicklung angelegt [ist}.
Ziel des Konzepts ist es, den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen."
Das Gremium erklärt ebenfalls, dass der Entwurf nicht bzw. nicht weitergehend mit den anderen europäischen Datenschutzbehörden abgestimmt sei:
"Die Veröffentlichung des Konzeptes erfolgt, nachdem erste Verhandlungen auf europäischer Ebene zu diesem Thema stattgefunden haben, in denen die Entwurfsfassung des Konzepts eine Rolle gespielt hat.
Nach Art. 70 Abs. 1 lit. k der Datenschutz-Grundverordnung ist eine Harmonisierung der Festsetzung von Geldbußen durch Leitlinien zu fördern. Veränderungen und Ergänzungen des Konzepts sowie der Praxis der Aufsichtsbehörden sind aufgrund neuer Erkenntnisse aus den europaweiten Abstimmungen in der Zukunft möglich.
Bis der Europäische Datenschutzausschuss endgültige Leitlinien erstellt hat, bietet das vorliegende Konzept die Grundlage für die Bußgeldzumessung in der Sanktionspraxis der deutschen Aufsichtsbehörden."
Wie erfolgt nun die Bestimmung der Bußgeld-Höhe genau?
Nach dem Konzept soll die Bußgeld-Höhe in fünf Schritten festgestellt werden:
1. Schritt: Das betreffende Unternehmen wird einer bestimmten Größenklasse zugeordnet.
2. Schritt: Es wird der mittlere Jahresumsatz der jeweiligen Größenklasse-Untergruppe ermittelt.
3. Schritt: Der wirtschaftliche Grundwert wird ermittelt.
4. Schritt: Dieser Grundwert wird mit einem von der Schwere der Tat abhängigen Faktor multipliziert.
5. Schritt: Berücksichtigung und Anpassung des Wertes anhand täterbezogener und sonstiger, noch nicht berücksichtigter Umstände.
Anmerkung von RA Dr. Bahr:
Sollte sich dieses Bußgeld-Konzept im Alltag tatsächlich durchsetzen, dann dürfte dies zu einer deutlichen Anhebung der DSGVO-Bußgelder in Deutschland und somit zu einer grundlegenden Verschiebung der bisherigen Praxis führen.
Nach der Systematik sind vor allem Unternehmen mit großem Umsatz überproportional betroffen, da bei ihnen das Konzept stets und immer von einer entsprechend gewichtigen Größenklasse ausgeht. Mit der Konsequenz, dass für ein und dasselbe Delikt ganz unterschiedliche Bußgeld-Höhen herauskommen.
Ob das vorgestellte Konzept noch mit den Kriterien des Art. 83 DSGVO vereinbar ist, kann daher aus diesem und noch weiteren Gründen ganz erheblich bezweifelt werden. Die DSK erklärt daher selbst, dass ihr Katalog die Gerichte, die etwaige Bußgelder überprüfen, nicht an diesen Vorgaben bindet, sondern die Justiz vielmehr eigenständig entscheidet.