Logo der activeMind AG

Bußgeldhöhe und Bußgeldberechnung für Konzerne und Unternehmen

Inhalt

Die Bußgeldhöhe bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) steigt in Deutschland und auch EU-weit rasant an. Insbesondere für Konzerne und Unternehmensgruppen stellt sich die Frage, wer beim Verstoß eines Unternehmens haftet und wie die Bußgeldhöhe berechnet wird. Trotz aller Harmonisierungsbestrebungen zeigt sich in der Praxis noch ein unterschiedliches Vorgehen der Aufsichtsbehörden.

Der Unternehmensbegriff im Datenschutzrecht

Europäische Datenschutzbehörden nehmen bei Bußgeldern erkennbar Fahrt auf. Das britische Information Commissioner’s Office (ICO) kündigte zwei Bußgelder in jeweils dreistelliger Millionenhöhe an. Die Berliner Datenschutzbehörde verhängte jüngst ein Rekordbußgeld in Höhe von 14,5 Mio. Euro. Da sich die Höhe der Bußgelder nach dem Jahresumsatz des Unternehmens richtet, stellt sich die Frage, welche Institution konkret gemeint ist. Ist es der spanische, schwedische oder deutsche Ableger eines Großkonzerns oder darf ein Fehlverhalten eines regionalen Betriebs dem weltweit agierenden und umsatzstarken Mutterkonzern zugerechnet werden? Denn einen einheitlichen Unternehmensbegriff gibt es im europäischen Recht nicht. Die Begriffsbestimmung nach Art. 4 Nr. 18 DSGVO ist sehr eng gefasst und umfasst jede juristische Person, die regelmäßig einer wirtschaftlichen Tätigkeit nachgeht. Das erfasst alle wirtschaftlich Tätigen, die personenbezogene Daten verarbeiten. Europäische Datenschutzbehörden wenden aber, entsprechend der Empfehlung des Working Paper (WP) 253 der Art. 29-Datenschutzgruppe, den weiteren kartellrechtlichen Unternehmensbegriff im Sinne des Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) an. Ein Unternehmen ist danach jede wirtschaftlich tätige Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung, die auch aus mehreren natürlichen oder juristischen Personen bestehen kann. Begründet wird dies mit dem Begriff der Unternehmensgruppe gemäß Art. 4 Nr. 19 DSGVO, wonach eine Unternehmensgruppe eine Gruppe darstellt, mit einem herrschenden Unternehmen und mehreren von diesem abhängigen kleineren Unternehmen. Das wirft starke Kritik auf, da nur der Begriff des Unternehmens im für Bußgelder relevanten Art. 83 DSGVO genannt wird und gerade nicht der der Unternehmensgruppe. Allerdings wird in der englischen Sprachfassung der Verordnung (in der sie verhandelt wurde) sowohl im Erwägungsgrund 150 DSGVO als auch in Art. 83 DSGVO der kartellrechtliche Begriff undertaking (deutsch: Unternehmensgruppe) verwendet, in Art. 4 Nr. 18 DSGVO hingegen der Begriff enterprise (deutsch: Unternehmen). Dies spricht gegen eine Gleichsetzung der Unternehmensbegriffe aus Art. 4 Nr. 18 und Art. 83 DSGVO. Undertaking ist der Begriff, den der Europäische Gerichtshof (EuGH) in seiner kartellrechtlichen Rechtsprechung als Unternehmensbegriff heranzieht. Für den kartellrechtlichen Unternehmensbegriff spricht neben EG 150 S. 3 auch, dass der EuGH etwa hinsichtlich des Begriffs der Niederlassung sowohl im Datenschutzrecht als auch in anderen Rechtsgebieten nicht auf gesellschaftsrechtliche Grenzen abstellt. Das Problem: Erwägungsgründe sind anders als die Artikel der DSGVO keine verbindlichen Rechtsvorschriften. Sie sind vielmehr bloße Auslegungshilfen, woraus sich im Gegensatz zur Verordnung selbst keine unmittelbaren Rechtsfolgen ableiten lassen.

Adressaten von DSGVO-Bußgeldern

Gemäß Art. 83 DSGVO können Verantwortliche und Auftragsverarbeiter Bußgeldadressaten sein. Die europäischen Datenschutzbehörden orientieren sich bei der Auswahl grundsätzlich am bereits angeführten WP 253 der Art. 29-Datenschutzgruppe. Es handelt sich um einen internen Leitfaden, der zu einer Harmonisierung der Bußgeldpraxis in Europa beitragen soll. Mutter- und Tochterunternehmen bilden damit aus Sicht der Aufsichtsbehörden eine wirtschaftliche Einheit. Es wird auch nicht ermittelt, wer die rechtswidrige Verarbeitung angewiesen oder zu verantworten hat. Angeknüpft wird also nicht mehr am Rechtssubjekt, sondern am Marktverhalten der wirtschaftlichen Einheit insgesamt. Entscheidend ist für die Behörden nicht, wer innerhalb dieser Einheit gehandelt hat, ob ein einziger Mitarbeiter, mehrere Mitarbeiter oder der Geschäftsführer. Damit wird der gesamte Konzern zur Zielscheibe, weil er als ein Unternehmen behandelt werden kann, sodass nicht nur ein einziges Rechtssubjekt, sondern mehrere juristische Personen Unternehmen sein können. Die Muttergesellschaft kann damit gesamtschuldnerisch für Handlungen ihrer Töchter in Anspruch genommen werden, ohne dass die persönliche Beteiligung der Mutter nachgewiesen werden müsste. Das Ziel der Datenschutzbehörden ist es, general- und spezialpräventiv multinationale Weltkonzerne zielgerichtet zu sanktionieren und Umgehungstaktiken, wie z.B. die Ausgliederung der Datenverarbeitung in umsatzschwächere Tochterfirmen zur Verringerung der Geldbuße, zu verhindern. Es bedarf allerdings noch einiges an Abstimmungsarbeit der Behörden, bevor von einer europaweit harmonisierten Bußgeldpraxis gesprochen werden kann.

Berechnungsgrundlage für Bußgelder

Auch bei der Berechnungsgrundlage legen die Datenschutzbehörden das WP 253 der Art. 29-Datenschutzgruppe zugrunde. Es ist eine Einzelfallentscheidung zu treffen, die davon beeinflusst wird, ob damit die Datenschutzverletzung behoben oder rechtswidriges Verhalten bestraft werden soll. Kriterien der Berechnung eines Bußgeldes sind stets:
  • die Art und Schwere des Verstoßes;
  • die Frage, ob Vorsatz oder Fahrlässigkeit vorlag;
  • ob der Verantwortliche Wiederholungstäter ist und
  • welche Maßnahmen er zur Eindämmung des Schadens ergriffen hat.
Die Datenschutzbehörden knüpfen am Marktverhalten der wirtschaftlichen Einheit insgesamt an und der gesamte Konzernumsatz bildet den für die Berechnung eines Bußgelds maßgeblichen Unternehmensumsatz. So soll die Muttergesellschaft daran gehindert werden, sich aus der Verantwortung zu stehlen. Werden Geldbußen Verantwortlichen auferlegt, bei denen es sich nicht um eine als Unternehmen agierende Person handelt, so soll die Aufsichtsbehörde gemäß EG 150 Satz 4 bei der Erwägung der angemessenen Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Auf den Euro genau einheitlich werden Bußgelder auch mit dem derzeitigen Berechnungsmodell der Datenschutzbehörden nicht berechnet. Die einzelnen Behörden müssen oft Entscheidungen über Umstände und Folgen des Datenschutzverstoßes im Einzelfall treffen. Die deutsche Datenschutzkonferenz (DSK) hat sich dem Thema der Bußgeldbemessung angenommen und hierzu im Oktober 2019 ein entsprechendes Konzept entwickelt, das im Wesentlichen die Vorgaben des Art. 83 DSGVO ausgestaltet. Ziel des Konzepts ist es, den Behörden eine einheitliche Methode für eine systematische, nachvollziehbare und transparente Bemessung von Geldbußen zur Verfügung zu stellen. Das Konzept sieht Folgendes vor:
  1. Unternehmen werden zunächst anhand ihres Umsatzes in eine von 20 Größenklassen eingeteilt.
  2. Daraus ergibt sich ein bestimmter Grundbetrag, der anschließend in sehr differenzierter Weise anhand der oben genannten Kriterien an den jeweiligen Einzelfall angepasst wird.
  3. Um dem in Art. 83 Abs. 1 DSGVO beschriebenen Verhältnismäßigkeitsgrundsatz gerecht zu werden, wird bei der Sanktionierung auch eine drohende Zahlungsunfähigkeit oder eine in der Branche des Unternehmens zu erwartende, besonders geringe Rendite berücksichtigt.
Der Vorteil: Bei dieser Vorgehensweise stellt der Umsatz nur die Grundlage für eine Bußgeldberechnung dar und individuelle Gegebenheiten fließen in die Bewertung mit ein. Die diesbezügliche Praxis der Aufsichtsbehörden und das Ergebnis der zu erwartenden gerichtlichen Überprüfung bleibt zu beobachten.

Fazit: DSGVO-Bußgelder können wirtschaftlich sehr wehtun

Europäische Datenschutzbehörden wenden den weiten kartellrechtlichen Unternehmensbegriff bei der Berechnung der Bußgelder an. Große Konzerne werden dadurch leichter zur Zielscheibe. Entsprechend hohe Bußgelder drohen selbst bei Datenschutzverletzungen kleinerer Tochterunternehmen oder regionaler Betriebe. In Deutschland ergreift die DSK trotz der vielen Unwägbarkeiten im Rahmen der Berechnung von Bußgeldern und der uneinheitlichen Bußgeldpraxis unter den Datenschutzbehörden den Versuch, einen Maßstab anzulegen, der den Einzelfall berücksichtigt. Ob dies dazu beiträgt, Ungerechtigkeiten zu vermeiden und bei Unternehmen ein Bewusstsein für die zu drohende Strafe zu schaffen, bleibt abzuwarten. Eines steht jedoch fest: Unternehmen müssen sich an die Existenz noch höherer Bußgelder bei Datenschutzverstößen gewöhnen. Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.