Bußgeldbemessung im Datenschutz: Dänemark als Vorbild?

 Niklas Vogt

Niklas Vogt

Die deutschen Aufsichtsbehörden veröffentlichten 2019 ihr Bußgeldmodell, das zuletzt aufgrund eines aufsehenerregenden Urteils des LG Bonn in die Kritik geraten ist. Kann das nun veröffentlichte Modell aus Dänemark neue Wege aufzeigen?

Bußgeldbemessung im Datenschutz: Dänemark als Vorbild?
Bußgeldbemessung im Datenschutz: Dänemark als Vorbild?

02.03.2021 | IT-Recht und Datenschutz

Die Datenschutzgrundverordnung (DSGVO) war 2018 mit dem Hauptziel angetreten, das europäische Datenschutzrecht auf ein einheitliches Niveau zu heben. Um dem Datenschutz auch zur effektiven Durchsetzung zu verhelfen, hielten die Verordnungsgeber dabei die Ansetzung von empfindlichen Bußgeldern für erforderlich. So kam es dann auch, dass in Art. 83 Abs. 4, 5 und 6 DSGVO erhebliche Geldbußen von bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes bzw. sogar bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes eingeführt wurden (wohlgemerkt pro einzelnem Verstoß).

Heute, über zweieinhalb Jahre nach Inkrafttreten der DSGVO, lässt sich sagen, dass es gerade die zu erwartenden hohen Bußgelder sind, die in der Breite ein Bewusstsein für den Datenschutz und eine Handlungsbereitschaft hervorgerufen haben. Dass sich die Aufsichtsbehörden nicht scheuen, auch Millionenbußgelder zu verteilen, haben im letzten Jahr aufsehenerregende Fälle wie Google (insgesamt EUR 100 Mio. durch die französische Datenschutzbehörde CNIL), H&M (EUR 35 Mio. durch den Hamburgischen Datenschutzbeauftragten) oder British Airways (EUR 22 Mio. durch die britische ICO) gezeigt.

Bei solchen Summen stellt sich die Frage, wie eine einzelfallgerechte, aber auch konsistente Bußgeldpraxis ausgestaltet werden kann. Zur Lösung dieses Problems hat die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) im Oktober 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen („DSK-Bußgeldmodell“) vorgestellt. Dieses Konzept, das als ganz maßgeblichen Gesichtspunkt der Bemessung den Unternehmensumsatz heranzieht, ist jedoch von Anfang an nicht unumstritten gewesen. Spätestens seit dem aufsehenerregenden Urteil des Landgerichts Bonn in Sachen 1&1 (Urt. v. 11.11.2020 - Az. 29 OWi 1/20 LG), in dem das LG den vom Bundesdatenschutzbeauftragten angesetzten Bußgeldbetrag in Höhe von EUR 9,5 Mio. auf EUR 900.000 reduzierte, ist ein Streit um das Konzept entstanden.

Nun hat Anfang des Jahres 2021 die dänische Datenschutzaufsicht „Datatilsynet“ eigene Leitlinien zur Bußgeldzumessung veröffentlicht, die Anlass geben, einen Vergleich mit dem DSK-Modell anzustellen und ggf. einen neuen Blick auf die nationale Bußgeldzumessung zu werfen.

Das deutsche Bußgeldmodell

Bevor das dänische Modell vorgestellt werden kann, soll hier in der gebotenen Kürze zunächst das DSK-Konzept erläutert werden.

Kurz gefasst funktioniert es wie folgt: Unternehmen wird anhand ihres Umsatzes ein Tagessatz zugewiesen. Dieser Tagessatz wird anhand der Schwere des DSGVO-Verstoßes mit einem Faktor multipliziert. Zuletzt wird geprüft, ob das Ergebnis aufgrund von Einzelfallumständen abgeändert werden muss. Der Prozess gliedert sich in fünf Schritte.

Etwas konkreter gesprochen geht es in Schritt 1 und 2 erst einmal um die Einordnung des betroffenen Unternehmens in eine von vier Größenklassen. Die Größenklassen richten sich nach dem weltweit erzielte Vorjahresumsatz. Dann wird, ausgehend vom Mittelwert der jeweiligen Klasse, in Schritt 3 ein Tagessatz gebildet.

In Schritt 4 kommt es erstmalig zu der Bewertung des individuellen Verstoßes, der einem Schweregrad (leicht, mittel, schwer oder sehr schwer) zugeordnet wird. Je nach Schweregrad wird der zuvor errechnete Tagessatz sodann mit einem Faktor multipliziert, wobei für formelle Verstöße gegen die DSGVO (etwa wenn kein Auftragsverarbeitungsvertrag geschlossen wurde) ein niedrigerer Faktor angesetzt wird als für materielle Verstöße (z.B. wenn für eine Datenverarbeitung keine Rechtsgrundlage existiert). Dabei ist hervorzuheben, dass es keinen Faktor unterhalb von 1 gibt, so dass die in Schritt 3 festgelegten Tagessätze niemals unterschritten werden können.

Im abschließenden Schritt 5 soll das zuvor errechnete Bußgeld dann noch einmal anhand aller Umstände des Einzelfalls überprüft und ggf. gekürzt oder erhöht werden. Das DSK-Konzept ist allerdings an genau dieser Stelle extrem kurz gehalten und gibt den Behörden keine weiteren Handreichungen zur Einzelfallbewertung.

Kritik am deutschen Modell

Auch wenn das deutsche Modell Einzelfall-Komponenten enthält, die eine verhältnismäßige Bußgeldbemessung zulassen würden, besteht die Gefahr, dass sich Behörden zu stark von der Einordnung in Umsatzgruppen leiten lassen. Rein umsatzbezogene Bußgelder versagen aber insbesondere immer dann, wenn umsatzstarke Unternehmen leichte Datenschutzverstöße begehen oder umsatzschwache Unternehmen gravierende Datenschutzverstöße. Dies stellte auch das LG Bonn in der angesprochenen Entscheidung zum 1&1-Bußgeld fest. Der Umsatz sollte also ein relevanter Ansatzpunkt sein. Die Einzelfallbetrachtung muss aber in jedem Fall gewährleistet werden.

Das dänische Bußgeldmodell

Das Konzept der dänischen Datenschutzaufsicht „Datatilsynet“, welches die Behörde im Januar 2021 vorlegte, geht einen anderen Weg. Es sieht zwar ebenfalls eine mehrstufige Berechnung des Bußgeldes vor (in fünf Schritten), primärer Ausgangspunkt ist dabei jedoch nicht – wie im DSK-Modell – allein der Umsatz.

Kurz gesagt, wird hier ein Grundbetrag anhand der Schwere des jeweiligen Verstoßes und des maximal zulässigen Bußgeldes gebildet. Für kleine und mittlere Unternehmen (KMU) sind dabei Erleichterungen vorgesehen. Danach wird der sog. Grundbetrag in einer tiefgehenden Auseinandersetzung mit allen Kriterien des Einzelfalls angepasst. Das Konzept ist an dieser Stelle besonders detailliert und gibt viele Handreichungen. Abschließend kann noch eine Anpassung im Hinblick auf die Zahlungsfähigkeit des Unternehmens vorgenommen werden.

Nachfolgend soll das Konzept etwas detaillierter beschrieben werden:

In Schritt 1 wird der Grundbetrag gebildet. Der Grundbetrag stellt einen prozentualen Anteil an der nach der DSGVO zulässigen Höchststrafe dar. Hier ist eine gewisse Ähnlichkeit mit dem Tagessatz nach dem deutschen Modell erkennbar, wobei für das dänische Modell schon beim Grundbetrag konkrete fallbezogene Elemente eine Rolle spielen (anders als beim DSK-Modell). Der Grundbetrag wird berechnet, indem der begangene DSGVO-Verstoß als erstes einer von sechs Kategorien zugeordnet wird. Sodann wird geprüft, welche Geldbuße dem Unternehmen nach Art. 83 Abs. 4 und 5 DSGVO maximal auferlegt werden kann. Steht die mögliche Höchststrafe fest, wird ausgehend von der zuvor vorgenommenen Kategorisierung ein Prozentsatz je Kategorie angesetzt (5% der Höchststrafe bei Verstößen in Kat. 1 und 4; 10% der Höchststrafe bei Verstößen in Kat. 2 und 5; 20% der Höchststrafe bei Verstößen in Kat. 3 und 6).

Um KMU nicht unverhältnismäßig zu treffen, kann der Grundbetrag noch einmal nach unten angepasst werden (Kleinstunternehmen: bis zu 0,4% des Grundbetrags, Kleinunternehmen: bis zu 2% des Grundbetrags, mittelständische Unternehmen: bis zu 10% des Grundbetrags). Bei der Frage, ob es sich um ein KMU handelt, berücksichtigt die dänische Behörde explizit nicht nur den Umsatz, sondern bewertet die Größe des Unternehmens vor allem auch nach dem Marktanteil. Sie stellt richtigerweise fest: „Wenn ein Unternehmen trotz eines relativ geringen Umsatzes einen relativ großen Marktanteil hat, kann dies Auswirkungen darauf haben, wie sich die Schwere oder die Folgen des Verstoßes auf den Markt auswirken.“ Dies ist nicht zuletzt deshalb richtig, weil es gerade im Bereich der Datenverarbeitung im Internet regelmäßig vorkommt, dass Startups schnell an Größe gewinnen und erhebliche Marktanteile besitzen, ohne jedoch bereits große Umsätze zu erwirtschaften.

Nach Ermittlung des Grundbetrags folgt in Schritt 2 eine Anpassung nach der konkreten Art, Schwere und der Dauer des Verstoßes. Das dänische Modell setzt sich – anders als das deutsche Modell – intensiv mit den Bußgeldzumessungskriterien in Art. 83 Abs. 2 lit. a DSGVO auseinander. Folgende Faktoren werden besonders hervorgehoben:

Bei Schritt 3 geht es noch tiefer in die Details des konkreten Verstoßes. Die Behörde prüft etwaige erschwerende oder mildernde Umstände, die vom Kriterienkatalog in Art. 83 Abs. 2 lit. b bis k DSGVO erfasst werden. In bemerkenswerter Stringenz geht das Konzept dabei auf jedes einzelne Merkmal ein und erläutert die jeweiligen Aspekte, die bei der Bewertung besonders zu berücksichtigen sind. Für weitere Klarheit sorgen dabei kurze Beispielsfälle (die selbst das ausführliche Papier der Art. 29-Datenschutzgruppe zur Anwendung und Festsetzung von Geldbußen [WP 253] nicht enthält). Die Erläuterungen in Schritt 3 nehmen den größten Umfang im gesamten Konzept ein und zeigen deutlich, wie intensiv sich die Behörde dem jeweiligen Einzelfall widmet. Zudem bringen die Ausführungen auch einen echten inhaltlichen Mehrwert zu den bisherigen Stellungnahmen europäischer Behörden.

In Schritt 4 wird geprüft, ob die aus Art. 83 DSGVO folgende Höchststrafe nicht überschritten wird. Interessant wird es dann noch einmal im abschließenden Schritt 5, bei dem die Zahlungsfähigkeit des Unternehmens Berücksichtigung findet. Die Behörde begründet dies mit dem Verhältnismäßigkeitsgrundsatz, wenn eine zu hohe Geldbuße die Existenz eines Unternehmens gefährden würde. Die Behörde macht klar, dass eine Reduzierung der Geldbuße außergewöhnliche Umstände erfordert und nur in Betracht gezogen wird, wenn moderatere Zahlungsbedingungen, wie z.B. ein Zahlungsaufschub, nicht weiterhelfen.

The Danish way

Das deutsche Bußgeldmodell ist stark umsatzfixiert. Es sieht zwar Möglichkeiten vor, eine einzelfallgerechte Lösung zu finden. Allerdings besteht aufgrund seiner Struktur die Gefahr, dass Behörden die ausführliche Auseinandersetzung mit den Umständen des Einzelfalls unter den Tisch fallen lassen. Genau dies war auch der Vorwurf des LG Bonn in Richtung des Bundesdatenschutzbeauftragten im Hinblick auf das 1&1-Bußgeld.

Das dänische Modell ist dagegen eine gute und ausbalancierte Alternative. Es bezieht den Umsatz bei der Bildung des Grundbetrags mit ein, erlaubt dann aber deutlich mehr Flexibilität (insbesondere im Hinblick auf KMU) und gibt wesentlich mehr Handreichungen bei der Auseinandersetzung mit den einzelnen Bußgeldkriterien. Außerdem betont es, dass neben dem Umsatz auch die Marktposition des Unternehmens eine wichtige Rolle spielt und sorgt dafür, dass das Bußgeld durch die Berücksichtigung der Zahlungsfähigkeit keine „erdrosselnde“ Wirkung hat.

Alles in allem ist das dänische Bußgeldmodell damit ein guter Weg hin zu einer gerechten Bußgeldpraxis, von dem sich die DSK eine Scheibe abschneiden kann.