Konzept der Datenschutzkonferenz zur Bemessung von Geldbußen

Am 16.10.2019 hat die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder), ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht.

Das Konzept betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO). Es findet insbesondere keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Das Konzept ist auch weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Ferner entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte. Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder können jederzeit eine Aufhebung, Änderung oder Erweiterung ihres Konzepts mit Wirkung für die Zukunft beschließen. Das Konzept verliert zudem seine Gültigkeit, sobald der EDSA seine abschließenden
Leitlinien zur Methodik der Festsetzung von Geldbußen erlassen hat.

II. Bußgeldkonzept
Die DSK ist der Auffassung, dass in einem modernen Unternehmenssanktionsrecht mit erheblichen maximalen Bußgeldbeträgen, das sich zugleich an eine Vielfalt unterschiedlich großer Unternehmen richtet, der Umsatz eines Unternehmens eine geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung darstellt.

Vor diesem Hintergrund erfolgt die Bußgeldzumessung in Verfahren gegen Unternehmen in fünf Schritten. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.). Dieses Verfahren garantiert eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung.

1. Kategorisierung der Unternehmen nach Größenklassen
Das betroffene Unternehmen wird anhand seiner Größe einer von vier Größenklassen (A bis D) zugeordnet (Tabelle 1). Die Größenklassen richten sich nach dem gesamten weltweit erzielten
Vorjahresumsatz der Unternehmen (vgl. Art. 83 Abs. 4 bis 6 DS-GVO) und sind unterteilt in Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Großunternehmen. Es gilt gemäß dem Erwägungsgrund 150 der DS-GVO der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV (sog. funktionaler Unternehmensbegriff). Die Größeneinordnung der KMU orientiert sich hinsichtlich des Vorjahresumsatzes grundsätzlich an der Empfehlung der Kommission vom 6. Mai 2003 (2003/361/EG). Die Größenklassen werden zur konkreteren Einordnung der Unternehmen nochmals in Untergruppen unterteilt (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII).

2. Bestimmung des mittleren Jahresumsatzes der jeweilige Untergruppe der Größenklasse
Dann wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, bestimmt (Tabelle 2). Dieser Schritt dient der Veranschaulichung der darauf aufbauenden Ermittlung des wirtschaftlichen Grundwertes (3.).

3. Ermittlung des wirtschaftlichen Grundwertes
Für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet (Tabelle 3).

4. Multiplikation des Grundwertes nach Schweregrad der Tat
Danach erfolgt anhand der konkreten tatbezogenen Umstände des Einzelfalls (vgl. Art. 83 Abs. 2 Satz 2 DS-GVO) eine Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer.
Hierfür werden gemäß der nachstehenden Tabelle 4 unter Berücksichtigung der Umstände des Einzelfalls anhand des Kriterienkatalogs des Art. 83 Abs. 2 DS-GVO der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt, mit dem der Grundwert multipliziert wird. Im Hinblick auf die unterschiedlichen Bußgeldrahmen sind dabei für formelle (Art. 83 Abs. 4 DS-GVO) und materielle (Art. 83 Abs. 5, 6 DS-GVO) Verstöße 8/8 jeweils unterschiedliche Faktoren zu wählen. Bei der Wahl des Multiplikationsfaktors einer sehr schweren Tat ist zu beachten, dass der einzelfallbezogene Bußgeldrahmen nicht überschritten wird.

5. Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände
Der unter 4. errechnete Betrag wird anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.

https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf