Bußgelder und Schadensersatzansprüche aufgrund von Daten ... / 3.1.2 Bußgeldzumessung

Die Höhe eines etwaigen Bußgeldes richtet sich grundsätzlich nach Art. 83 DSGVO, wonach einem Unternehmen je nach Verstoß ein Bußgeld in Höhe von bis zu 20 Mio. EUR oder bis zu 4 % des weltweiten Jahresumsatzes auferlegt werden kann.

In Bezug auf die Zumessung des konkreten Bußgeldes im Einzelfall führt Art. 83 Abs. 2 S. 2 DSGVO einige Kriterien auf, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Fall "gebührend" zu berücksichtigen sind. Relevant sind danach, insbesondere tatbezogene Kriterien, wie

• Art, Schwere und Dauer des Verstoßes,
• die Zahl der von der Verarbeitung betroffenen Personen,
• das Ausmaß des Schadens,
• die Kategorie der betroffenen personenbezogenen Daten,
• etwaige Schadensbegrenzungsversuche des Unternehmens,
• der Grad der Verantwortlichkeit und

• die Kooperation mit den Datenschutzbehörden.

  Bußgeldkonzept der Datenschutzaufsichtsbehörden

Vor diesem Hintergrund veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern ("DSK") im September des Jahres 2019 ein Bußgeldkonzept zur Bemessung von Bußgeldern, das zu mehr Sicherheit bei der Bußgeldbemessung führen sollte. Dieses Konzept sieht für die Bemessung eines Bußgelds nachfolgenden fünf Schritte vor:

• Kategorisierung der Unternehmen in Größenklassen: Das betroffene Unternehmen wird anhand seines Umsatzes einer von vier Größenklassen zugeordnet. Dabei knüpft die DSK an den funktionalen Unternehmensbegriff im Sinne der Art. 101 AEUV und Art. 102 AEUV an, da auf diese Vorschrift auch in den Erwägungsgründen der DSGVO verwiesen wird. Dies bedeutet für Konzerngesellschaften, dass der weltweite Umsatz des ganzen Konzerns als Berechnungsgrundlage genommen wird.
• Bestimmung des mittleren Jahresumsatzes der jeweiligen Gruppe: Für jede der Größenklassen hat die DSK einen mittleren Jahresumsatz erstellt.
• Ermittlung eines wirtschaftlichen Grundwertes: Für die Festsetzung dieses Grundwertes wird der mittlere Jahresumsatz der Gruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt, um so einen durchschnittlichen Tagessatz zu errechnen.
• Multiplikation dieses Grundwertes mit einem von der Schwere der Tatumstände abhängigen Faktor: In diesem Schritt wird zunächst der Schweregrad des Verstoßes ermittelt; hierfür wird ein Punktesystem verwendet, das die in Art. 83 DSGVO genannten Faktoren (u. a. Art, Dauer und Umfang des Verstoßes, Verschulden des Verantwortlichen und getroffene Minderungsmaßnahmen) berücksichtigt. Anhand der Punkte erfolgt die Einordnung in die Schweregradklassen leicht, mittel, schwer oder sehr schwer. Je nach Schweregrad und nach Art des Verstoßes (Art. 83 Abs. 4 DSGVO oder Art 83 Abs. 5 und 6 DSGVO) wird dann der vorher ermittelte Tagessatz mit einem Faktor zwischen 1 und 12 multipliziert.

• Anpassung des ermittelten Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände: Letztlich kann die Behörde das Bußgeld aufgrund von noch nicht berücksichtigten erschwerenden oder mildernden Umständen individuell anpassen.

  Rechtswidrigkeit des Bußgeldkonzeptes in der vorliegenden Gestalt

In dem Fall 1&1 hatte das LG Bonn als erstes Gericht die Gelegenheit, über die Rechtmäßigkeit dieses Bußgeldkonzepts der DSK zu urteilen und entschied, dass die dargestellte Vorgehensweise der DSK, den Unternehmensumsatz als Grundlage für die Bemessung des Bußgelds heranzuziehen, nicht rechtmäßig sei. Nach Ansicht des LG Bonn sei der Unternehmensumsatz zwar grundsätzlich ein geeigneter Indikator für die Bußgeldbemessung, in erster Linie müssten für die konkrete Bestimmung der Höhe eines Bußgeldes jedoch die genannten und gesetzlich vorgesehenen tatbezogenen Faktoren der Zumessung zugrunde gelegt werden.

Als Begründung für seine Entscheidung führte das LG Bonn aus, dass der Umsatz des Unternehmens zwar grundsätzlich für die Bestimmung der Bußgeldobergrenze und als ein Anhaltspunkt im Rahmen der konkreten Zumessung des Bußgeldes berücksichtigt werden könne. Denn Sanktionierungen sollten nicht nur verhältnismäßig, sondern auch wirksam und abschreckend sein, sodass die Ahndungsempfindlichkeit des Unternehmens als ein Punkt unter anderen berücksichtigt werden könne, um die spezialpräventive Wirkung auf das betroffene Unternehmen zu gewährleisten. Allerdings müsse die Bemessung des Bußgeldes in erster Linie nach den tatbezogenen Gesichtspunkten des Verstoßes, insbesondere der Schwere des Datenschutzverstoßes im Einzelfall, erfolgen. Denn nur auf diese Weise komme der – allein relevanten – Art und Schwere des Datenschutzverstoßes sowie den weiteren genannten tatbezogenen Zumessungsgesichtspunkten im Rahmen der Bußgeldbemessung mehr Bedeutung zu, als der – für den konkreten Verstoß irrelevanten – Umsatzstärke des Unternehmens. Nur durch eine Abkehr von der Hauptorientierung am Umsatz des betroffenen Unternehmens könnten somit einzelfallgerechte und verhältnismäßige Sanktionen verhängt werden. Und nur so – so das Gericht – könnten ungerechte Ergebnisse bei schweren Date...