Dr. Karsten Webel
 

Rz. 8

Die Kriterien für die Bemessung der Geldbuße ergeben sich aus Art. 83 Abs. 2 S. 2 EU-DSGVO. In den Buchst. a) bis k) ist ein umfassender Katalog von verschiedenen Umständen, Kriterien und Faktoren niedergelegt, der in Buchst. k) mit einer Auffangklausel endet, die mit zwei weiteren Beispielen ("erlangte finanzielle Vorteile" und "vermiedene Verluste") unterlegt wird. Aus dem Verhältnismäßigkeitsprinzip ergibt sich darüber hinaus, dass bei der Entscheidung über die Höhe der Geldbuße auch das allgemeine Einkommensniveau in dem betreffenden Mitgliedstaat und die wirtschaftliche Lage der Person einzubeziehen sind, wenn die Geldbuße nicht einem Unternehmen auferlegt wurde.[1]

 

Rz. 9

Die Höhe der Geldbuße beträgt bei Verletzung einer jeden der in Art. 83 Abs. 4 EU-DSGVO in Bezug genommenen Pflichten bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2 % des weltweit im Vorjahr erzielten Jahresumsatzes. Für Verstöße gegen die in Art. 83 Abs. 5 und 6 EU-DSGVO genannten Pflichten wird die maximal zulässige Geldbuße auf bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4 % des weltweit im Vorjahr erzielten Jahresumsatzes verdoppelt. Aufgrund dieser Obergrenzen ist – zumindest bis sich eine gewisse Praxis der Strafzumessung herausgebildet hat – davon auszugehen, dass die verhängten Bußgelder durchaus schwerwiegende bis hin zu existenzbedrohenden Wirkungen entfalten können, da bei der Bemessung der Geldbuße für ein Unternehmen die finanzielle Leistungsfähigkeit des Unternehmens auch keine Berücksichtigung findet.[2]

 

Rz. 10

Im Hinblick auf die Bemessung des Bußgelds anhand des weltweiten Jahresumsatzes ist zu berücksichtigen, dass u. U. nicht auf ein einzelnes Unternehmen, sondern auf den Gesamtumsatz mehrerer zusammengehöriger Unternehmen abzustellen ist. Für die Verhängung von Geldbußen soll nach EG 150, 3 EU-DSGVO nicht auf das einzelne Unternehmen i. S. d. Art. 4 Nr. 18 EU-DSGVO abgestellt werden, sondern auf den funktionalen Unternehmensbegriff i. S. d. Art. 101, 102 AEUV, so dass die wirtschaftliche Einheit den maßgeblichen Bezugspunkt darstellt. Die Berücksichtigung des gesamten Umsatzes aller Unternehmen kommt somit in Frage, wenn diese innerhalb einer gewissen Organisation arbeitsteilig zusammenwirken und nach außen nicht selbständig, sondern als Teil eines Gesamt-Unternehmens auftreten.[3] Je deutlicher jedoch ein zu einem Unternehmensverbund gehöriges Unternehmen eigenverantwortlich am Markt auftritt, desto weniger kann im Rahmen der Bußgeldbemessung von einer wirtschaftlichen Einheit ausgegangen werden.

 

Rz. 11

Im Hinblick auf die Höhe der Geldbuße ist von Bedeutung, ob eine Fall der Tatmehrheit oder der Tateinheit i. S. d. Art. 83 Abs. 3 EU-DSGVO vorliegt. Um einen Fall der Tateinheit handelt es sich, wenn eine Handlung mehrere Tatbestände verletzt, was auch bei der gleichförmigen und in zeitlicher Verbindung stehenden Verarbeitung von personenbezogenen Daten einer Vielzahl von Personen zu bejahen ist.[4] Tatmehrheit liegt hingegen vor, wenn bei verschiedenen Verarbeitungsvorgängen in zeitlichem Anstand mehrfach gegen die EU-DSGVO verstoßen wird. Insoweit ist dann auch ohne Bedeutung, ob es sich um eine gleichförmige Verarbeitung handelt.

Aus Art. 83 Abs. 3 EU-DSGVO ergibt sich für solche Fälle von Mehrfachverstößen, dass die Geldbuße für alle Einzelverstöße summiert werden, die Gesamtgeldbuße darf jedoch nicht den Höchstbetrag überschreiten, der für die schwerwiegendste Tat angedroht ist.[5]

 

Rz. 12

Gem. Art. 83 Abs. 2 S. 1 EU-DSGVO kann zusätzlich zu einer Geldbuße oder an ihrer Stelle auch eine Abhilfemaßnahme nach Art. 58 Abs. 2 Buchst. a bis h und j EU-DSGVO[6] verhängt werden. Ob insoweit der Verhängung einer Geldstrafe gegenüber einer Abhilfemaßnahme Vorrang zukommt, ist umstritten.[7] Aufgrund des Wortlauts der EU-DSGVO und bestätigt durch die Erwägungsgründe (EG) zur EU-DSGVO dürfte allerdings davon auszugehen sein, dass für die Aufsichtsbehörde folgende drei Möglichkeiten bestehen:

  • Sie kann den Verstoß feststellen und daraufhin eine Geldbuße verhängen.
  • Sie kann auch den Verstoß feststellen und eine Abhilfeanordnung neben einer Geldbuße verhängen.
  • Sie kann ferner einen Verstoß feststellen, daraufhin eine Abhilfeanordnung erlassen, dann die Nichtbefolgung feststellen und in der Folge nach Art. 83 Abs. 6 EU-DSGVO eine Geldbuße verhängen.

Somit kommt der Aufsichtsbehörde ein umfassendes Auswahlermessen zu, welchen dieser Wege sie beschreiten will.[8]

[1] Vgl. EG 150 S. 4 EU-DSGVO.
[2] EG 150, S. 4 EU-DSGVO; Becker, in Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 83. Rz. 7 f.; Keppeler/Berning, DStR 2018, 91, 95.
[3] Frenzel, in Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rz. 20; Keppeler/Berning, DStR 2018, 91; Krohm, RDV 2017, 221.
[4] Bergt, in Kühling/Buchner, DSGVO/BDSG, 2. Aufl. 2018, Art. 83 Rz. 60; Frenzel, in Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rz. 16.
[5] Bergt, in Kühling/Buchner, DSGVO/BDSG, 2. Aufl. 2018, Art. 83 Rz. 62; Frenzel, in Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rz....

Dieser Inhalt ist unter anderem im Haufe Steuer Office Excellence enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen