Datenschutzverstöße

Europaweit einheitliches Bußgeldmodell kommt

Vor genau vier Jahren ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Nun veröffentlichte der Europäische Datenschutzausschuss (EDSA) ein europaweit gültiges Berechnungsmodell zur Höhe von Bußgeldern. Gerade umsatzstarke Unternehmen könnten mit höheren Strafen rechnen. Doch das letzte Wort ist noch nicht gesprochen, da sind sich Datenschutzrechtler einig.

Teilen Sie unseren Beitrag

Am 12. Mai beschloss die EDSA ein Modell zur einheitlichen Berechnung von Bußgeldern bei Datenschutzverstößen nach der DSGVO. Im öffentlichen Konsultationsverfahren steht das Modell bis Ende Juni noch zur Diskussion, am Grundgerüst wird sich aber wohl kaum noch etwas ändern. In laufenden Verfahren wird das Modell sogar schon angewendet oder mindestens mit der Behörde diskutiert.

Umso dringlicher beschäftigen sich die Datenschutzrechtler hierzulande mit dem Dokument – für viele Mandanten beginnt das große Rechnen, eine neue Risikobewertung muss her. Fest steht, dass das seit Herbst 2019 bekannte deutsche Modell der Datenschutzkonferenz (DSK) abgelöst wird. Ziel ist es, in ganz Europa einheitlichere Bußgelder zu erreichen. In der Vergangenheit waren diese äußerst unterschiedlich bemessen und von Gerichten gekippt worden. 

JUVE hat vier Datenschutzrechtsexperten gefragt, was sich durch die europäischen Vorgaben in Deutschland ändert:

Daniel Rücker

Was sind unmittelbare Folgen aus dem neuen Bußgeldmodell für Unternehmen in Deutschland?
„Wenig überraschend gilt auch in Zukunft: Mit steigenden Umsätzen steigt auch nach der Methodik des EDSA die Bußgeldhöhe. Gerade bei Unternehmen mit hohen Umsätzen kann das zu extrem hohen Bußgeldern führen. Bei der Zurechnung des Fehlverhaltens von Mitarbeitern positioniert sich der EDSA sehr klar: Handlungen oder Unterlassungen von Personen, die für das Unternehmen handeln, sind dem Unternehmen grundsätzlich unmittelbar zurechenbar. Gleichzeitig fordert der EDSA gelebte Datenschutz-Governance statt bloß auf dem Papier bestehende Datenschutz-Policies.“
Dr. Daniel Rücker, Partner und Leiter Datenschutz bei Noerr in München

Tim Wybitul

Was bedeutet das Bußgeldmodell für bereits laufende Bußgeldverfahren? Ermittelt es eine faire Bußgeldhöhe für Unternehmen aller Art und Größe?
„Die Datenschutzbehörden berücksichtigen das Konzept bereits in ihren Entscheidungen. Daher sprechen wir beispielsweise bei Verhandlungen im laufenden Verfahren schon mit den Behörden darüber, wie sich das Bußgeldmodell auf mögliche Verständigungen auswirkt. Gerade bei laufenden Verfahren fragen Vorstände und Datenschutzabteilungen auch nach Berechnungsbeispielen für die konkret im Raum stehenden Vorwürfe.
Das von den Datenschutzbehörden vorgelegte Berechnungskonzept ist hinreichend flexibel, um faire – beziehungsweise verhältnismäßige – Bußgelder zu ermöglichen. Den Behörden stehen hier genug Stellschrauben zur Verfügung, gerade bei der Bewertung eines Verstoßes als leicht, mittel oder schwer. Sehr problematisch ist hingegen die Forderung der Behörden nach einer Durchgriffshaftung im Konzern. Auch die übermäßig starke Gewichtung des Gesamtumsatzes anstatt des durch einen Verstoß erwirtschafteten Gewinns bietet gute Ansätze zur erfolgreichen Verteidigung von Unternehmen gegen auf der Basis des Konzepts verhängten Bußgeldern.“
Tim Wybitul, Partner und Leiter Datenschutz bei Latham & Watkins in Frankfurt

Simon Assion

Erreicht der EDSA damit sein Ziel, einheitlichere Bußgelder in Europa durchzusetzen?
„Innerhalb des EDSA gibt es Behörden, die einheitliche Bußgelder in Europa wollen. Es gibt aber auch andere, die eher gegen eine Vereinheitlichung sind. Mit dem neuen Bußgeldmodell hat die Fraktion, die für Vereinheitlichung kämpft, einen klaren Sieg errungen. Sobald das Bußgeldkonzept final verabschiedet wird, werden sich alle Datenschutzbehörden der EU daran halten müssen. Falls sie dies nicht tun, können sie im Wege des Kohärenzverfahrens dazu gezwungen werden.
Es gibt im neuen Konzept allerdings eine Reihe von Regelungen, die es den Datenschutzbehörden ermöglichen, auch deutlich niedrigere Bußgelder zu verhängen als im Konzept ‚eigentlich‘ vorgesehen. Ich denke, diese Regelungen werden vor allem in den wirtschaftsschwächeren Ländern im Osten und Süden der EU zur Anwendung kommen. Wichtig ist außerdem: Das letzte Wort haben immer noch die Gerichte. Das EDSA-Bußgeldkonzept hat aus Sicht eines Gerichts keine Bindungswirkung, sondern das Gericht wird sich ausschließlich am Wortlaut der DSGVO orientieren. Und wenn ein Gericht zu der Auffassung kommt, dass ein Bußgeld offensichtlich unangemessen ist, wird es dieses im eigenen Ermessen aufheben oder anpassen. Das ist auch schon mit dem DSK-Bußgeldkonzept passiert. Und wenn der EDSA nicht die offensichtlichen methodischen Schwächen an seinem neuen Bußgeldmodell ausgleicht, wird das auch dort passieren. “
Dr. Simon Assion, TMT-Partner bei Bird & Bird in Frankfurt

Paul Voigt

An welchen Stellen weicht das Bußgeldmodell vom DSK-Modell ab? Welche Änderungen des EDSA-Modells wären noch nötig?
„Das Modell des EDSA geht umfangreicher darauf ein, welche Umstände sich negativ, neutral oder positiv auf die zu verhängende Strafe auswirken. Anders als beim DSK-Bußgeldmodell gibt es auch keine festen Multiplikatoren, die je nach Schwergrad des Verstoßes zur Anwendung kommen sollten.
Die Aufsichtsbehörden sollen nach dem EDSA-Modell grundsätzlich den Jahresumsatz zur Bemessung des Bußgelds heranziehen. Hier bestehen aus verschiedenen Gründen Bedenken. Der Jahresumsatz ist in der DSGVO lediglich als Höchstgrenze, nicht als Bemessungsgrundlage vorgesehen. Umsatz ist auch nicht gleich Umsatz: Je nach Branche unterscheiden sich Gewinnmargen beachtlich, und aus demselben Umsatz ergibt sich nicht derselbe Unternehmensgewinn.
Umsatzbezogene Bußgelder treffen damit Unternehmen mit geringer Gewinnmarge deutlich stärker als margenträchtige Unternehmen. Zudem überlagert die Fokussierung auf den Unternehmensumsatz die Befassung mit dem eigentlichen Datenschutzverstoß: So sollte – wie beispielsweise im Kartellrecht – stärker auf den tatbezogenen, und nicht den tatunabhängigen Umsatz abgestellt werden. Weiter sollten sich Schadensersatzzahlungen als Wiedergutmachungsmaßnahme positiv auf die Strafe auswirken.“
Dr. Paul Voigt, Partner bei Taylor Wessing in Berlin und Praxisgruppenleiter Technology, Media & Telecoms

Copyright Teaserbild: putilov_denis/Fotolia

Artikel teilen

Lesen sie mehr zum Thema

Verfahren Deutsche Wohnen

Bußgeldbescheid über 14,5 Millionen Euro aufgehoben

Verfahren Präzedenzfall

1&1 reduziert mit Morrison & Foerster und Freyschmidt DSGVO-Bußgeld massiv