print logo

DSGVO Bußgelder: Wie bestimmen Aufsichtsbehörden die Bußgeldhöhe?

Seit die Datenschutz-Grundverordnung gilt, verbinden viele Unternehmen Datenschutz unter anderem mit hohen Bußgeldern.
Simone Rosenthal | 30.09.2019
DSGVO Bußgelder: Wie bestimmen Aufsichtsbehörden die Bußgeldhöhe? © Pixabay / TPHeinz
 

Tatsächlich ist durch die DSGVO der Bußgeldrahmen für Datenschutzverstöße im Vergleich zu den Regelungen des alten Bundesdatenschutzgesetzes (BDSG) ganz erheblich ausgeweitet worden. Bei Bußgeldern von bis zu 20 Mio. Euro oder in Höhe von bis zu 4 % des Jahresumsatzes ist es umso wichtiger, zu verstehen, wie die Höhe eines Bußgeldes von den Aufsichtsbehörden festgelegt wird. Wie aus diesem Beitrag hervorgeht, ist die Bußgeldhöhe das Ergebnis einer Abwägung verschiedener Kriterien und Faktoren, zu denen auch das Verhalten von Unternehmen nach dem Datenschutzverstoß zählt. Da die Höhe des Bußgeldes durch vorbildliches Verhalten beeinflusst werden kann, sollten Unternehmen hierauf besonderes Gewicht legen.

Der Datenschutzverstoß – ein Bußgeld droht

Erfährt die Behörde von einem Datenschutzverstoß, muss sie zunächst mit eigenem Ermessensspielraum entscheiden, ob sie dafür eine Geldbuße verhängt. Bei geringfügigen Verstößen oder falls die Geldbuße eine unverhältnismäßige Belastung darstellt, kann es die Behörde bei einer Verwarnung belassen. Andernfalls kann die Behörde neben oder anstelle von weiteren Abhilfemaßnahmen, wie Verboten und Anordnungen, eine Geldbuße verhängen und muss dafür über deren Höhe entscheiden. Einen „Bußgeldkatalog“ gibt es dafür in Deutschland jedoch nicht. Vielmehr bestimmt die Aufsichtsbehörde zunächst den abstrakten Bußgeldrahmen und anschließend die konkrete Höhe des Bußgelds anhand vorgegebener Kriterien, die in jedem Einzelfall berücksichtigt werden müssen. In diesem Beitrag erklären wir das Prüfprocedere der Aufsichtsbehörden und zeigen auf, wie Sie das Bußgeld im Fall eines Verstoßes möglichst gering halten.

Bestimmung des Bußgeldrahmens

In einem ersten Schritt prüft die Behörde, welcher Bußgeldrahmen eröffnet ist. Der maximale Bußgeldrahmen nach Art. 82 Abs. 5 von bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes (aus Art. 82 Abs. 5 DSGVO) findet nicht auf alle Datenschutzverstöße Anwendung. Vielmehr gibt es daneben einen zweiten (kleinen) Bußgeldrahmen, der auf 10 Mio. Euro oder bis zu 2 % des weltweit erzielten Jahresumsatzes beschränkt ist (vgl. Art. 82 Abs. 4 DSGVO). Welcher Bußgeldrahmen eröffnet ist, richtet sich danach, gegen welche Regelung der Datenschutz-Grundverordnung (DSGVO) verstoßen wurde. So gilt der Bußgeldrahmen von 10 Mio. Euro oder 2 % des Jahresumsatzes beispielsweise für Verstöße gegen • die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), • die Pflicht eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO), • die Pflicht geeignete technisch-organisatorische Maßnahmen (TOMs) zu treffen (Art. 25 DSGVO). Der höhere Bußgeldrahmen von 20 Mio. Euro oder 4 % des Jahresumsatzes ist eröffnet bei der Begehung der „Todsünden“ des Datenschutzrechts, namentlich bei Verstößen gegen die • Grundsätze der Verarbeitung (z.B. Datenminimierung, Zweckbindung, Transparenz; Art. 5 DSGVO), • Sicherstellung und Gewährleistung der Betroffenenrechte (Art. 12 ff. DSGVO), • Vorschriften zur Übermittlung von personenbezogenen Daten an Empfänger in Drittländern, bspw. Datenübermittlung nur bei geeigneten Garantien (z.B. dem Abschluss von Standarddatenschutzklauseln), • Nichtbefolgung vorangegangener Auflagen der Aufsichtsbehörden.

Kriterien für die Prüfung im Einzelfall

Nachdem die Behörde ausgehend von der oder den Regelung/en, gegen die verstoßen wurde, den anwendbaren Bußgeldrahmen ermittelt hat, bestimmt sie anhand verschiedener Kriterien die konkrete Höhe des Bußgeldes innerhalb dieses Rahmens.

Allgemeine Zumessungskriterien

In einem ersten Schritt zieht die Behörde die allgemeinen Zumessungskriterien für die Verhängung von Geldbußen heran. In Anknüpfung an die Rechtsprechung des EuGH muss die Geldbuße in jedem Einzelfall „wirksam, abschreckend und verhältnismäßig“ sein (vgl. Art. 83 Abs. 1 DGVO).

Spezielle Zumessungskriterien

Daneben stellt die DSGVO in Art. 83 Abs. 2 DSGVO spezielle Zumessungskriterien auf. Diese Kriterien dienen unter anderem dazu, sicherzustellen, dass die Geldbuße jeweils im Einzelfall für den Verstoß angemessen ist und auf das den Datenschutzverstoß begehende Unternehmen „passt“. Für ein Unternehmen mit einem Umsatz von 5 Millionen Euro könnte ein Bußgeld in Höhe von 1 Mio. Euro existenzbedrohend sein, während ein Bußgeld in dieser Höhe für ein Unternehmen mit einem Umsatz im Bereich der Milliarden je nach Verstoß weder wirksam noch abschreckend sein würde. Im Hinblick auf die Bewertung der Verhältnismäßigkeit eines Bußgeldes im Einzelfall hat die Behörde daher in einem zweiten Schritt insbesondere folgende Kriterien gebührend zu berücksichtigen: • die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der Verarbeitung, • die Zahl der von dem Verstoß betroffenen Personen, • das Ausmaß des tatsächlich erlittenen Schadens, • ob der Verstoß absichtlich oder versehentlich herbeigeführt wurde, • frühere Verstöße des Unternehmens, • die Kategorien personenbezogener Daten die vom Verstoß betroffen sind, • und ob durch den Verstoß finanzielle Vorteile erlangt wurden oder Verluste vermieden worden sind. Diese Kriterien knüpfen an den Verstoß selbst an und Unternehmen können, nachdem der Verstoß begangen wurde, an den Umständen des Verstoßes „nichts mehr ändern“. Dies gilt etwa für die Zahl der von dem Verstoß betroffenen Personen, die im Zeitpunkt des Verstoßes feststeht und sich nicht abändern lässt. Daneben kennt die DSGVO allerdings auch Kriterien, die den Unternehmen die Chance bieten auf die Höhe des Bußgeldes – noch nachdem der Verstoß begangen wurde – Einfluss zu nehmen. Dies sind insbesondere: • die vom Unternehmen getroffenen Maßnahmen um den Schaden für die betroffenen Personen zu mindern; • der Umfang der Zusammenarbeit des Unternehmens mit der Aufsichtsbehörde; und • ob und in welchem Umfang das Unternehmen den Verstoß der Behörde selbst mitgeteilt hat.

Maßnahmen, um die Bußgeldhöhe gering zu halten

Naheliegenderweise sollten Unternehmen den zuletzt genannten Kriterien beim Krisenmanagement besondere Aufmerksamkeit schenken. Hierbei sollte auf keinen Fall einfach abgewartet werden, vielmehr ist eine proaktive Vorgehensweise angebracht. Dabei sollten Unternehmen in zwei Richtungen tätig werden und zwar zum einen gegenüber den von dem Verstoß betroffenen Personen als zum anderen auch gegenüber der zuständigen Aufsichtsbehörde. Im Hinblick auf die von dem Verstoß betroffenen Personen sollten Unternehmen alle Maßnahmen treffen, um den Schaden für diese so gering wie möglich zu halten. Eine in Betracht kommende Maßnahme kann beispielsweise die unverzügliche Information den betroffenen Personen über den Verstoß sein, um diesen die Möglichkeit zu geben, ihre Daten zu schützen. Stellt ein Unternehmen beispielsweise unbefugte Zugriffe auf Kunden-Accounts fest, sollten diese Kunden informiert und gebeten werden, ihre Account-Passwörter zu aktualisieren. Bis dies geschehen ist, können Unternehmen die jeweiligen Profile inaktiv schalten, um einen Datenabfluss zu vermeiden. Im Umgang mit den betroffenen Personen sollte grundsätzlich eine proaktive Kommunikation gewählt und alle Maßnahmen getroffenen werden, um deren Daten zu schützen. Selbstverständlich sind betroffene Personen umfassend beim Schutz ihrer Daten zu unterstützen. Der zuständigen Aufsichtsbehörde ist im Rahmen der gesetzlichen Meldepflicht nach Art. 33 DSGVO ein Verstoß unter anderem dann mitzuteilen, wenn dieser zur Vernichtung, Verlust, Veränderung oder unbefugten Offenlegung personenbezogener Daten führt. In Kooperation mit der Aufsichtsbehörde sollten Mittel und Wege gefunden werden, um die Folgen des Datenschutzverstoßes nicht nur zu mildern sondern zukünftig gleich gelagerte Datenschutzverstöße zu vermeiden. In diesem Zusammenhang können beispielsweise in Abstimmung mit der Aufsichtsbehörde umfangreiche Änderungsmaßnahmen bezüglich der IT-Sicherheit vereinbart werden oder von der Aufsichtsbehörde vorgeschlagene Schutzmaßnahmen umgesetzt werden. Bei Meldung und Umfang der Meldung des Verstoßes an die Aufsichtsbehörde ist zu beachten, dass die Behörde hierdurch gegebenenfalls erstmalig vom Datenschutzverstoß erfährt. Unternehmen sind daher gut beraten, die Pflicht zur Meldung eines Datenschutzverstoßes eingehend zu bewerten und sich bereits bei der Meldung von Experten für Datenschutzrecht beraten zu lassen, die im Umgang mit den Aufsichtsbehörden erfahren sind. Dass sich die fachkundige Beratung durch spezialisierte Anwälte lohnen kann, zeigt der Fall des Onlinedienstes „Knuddels“, gegen den der Baden-Württembergischen Landesdatenschutzbeauftragten Dr. Brink ein Bußgeld in Höhe von 20.000 Euro verhängte. Was auf den ersten Blick durchaus als hohes Bußgeld erscheinen mag, relativiert sich vor dem oben angesprochenen Bußgeldrahmen von bis zu 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes. Als niedrig dürfte dieses Bußgeld jedoch insbesondere im Hinblick auf die von Knuddels begangenen Datenschutzverstöße zu bewerten sein. So hatte sich das Unternehmen an die Aufsichtsbehörde gewandt, nachdem es einen Hackerangriff bemerkt hatte. Hierbei wurden personenbezogene Daten von ca. 330.000 Nutzern entwendet. Dies allein lässt schon auf unzureichende technische-organisatorische Maßnahmen schließen. Allerdings legte das Unternehmen im Rahmen der Kooperation mit der Aufsichtsbehörde darüber hinaus von sich aus offen, dass unter anderem versäumt wurde, die (abhanden gekommenen) Passwörter der Nutzer zu verschlüsseln und zu verfremden („hashen“), diese also vielmehr im Klartext gespeichert worden waren. Von der Aufsichtsbehörde wurde hervorgehoben, dass das Unternehmen unverzüglich und umfassend über den Hackerangriff informierte und dabei auch weitere, eigene Versäumnisse offenlegte. Besonders gelobt wurde unter anderem: • die gute Kooperation des Unternehmens mit der Aufsichtsbehörde, • die Transparenz des Unternehmens im Hinblick auf Datenverarbeitungs- und Unternehmensstrukturen, • dass innerhalb kurzer Zeit weitreichende Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur umgesetzt, und • hierdurch die Sicherung der Nutzerdaten auf den aktuellen Stand der Technik gebracht wurde, • in enger Abstimmung mit der Aufsichtsbehörde weitere Maßnahmen zur Verbesserung der Datensicherheit umgesetzt werden. Der Baden-Württembergische Landesdatenschutzbeauftragte betonte, dass ein Bußgeld immer verhältnismäßig zu sein hat. So hatte das Unternehmen Knuddels nicht nur das Bußgeld zu zahlen, sondern hat aufgrund der in Abstimmung mit der Aufsichtsbehörde getroffenen Maßnahmen im Ergebnis einen Betrag im sechsstelligen Bereich zu tragen. Da allerdings auch ein Bußgeld im sechsstelligen Bereich hätte verhängt werden können – und zusätzlich die entsprechenden Investitionen in die IT-Sicherheitsarchitektur hätten getätigt werden müssen – lässt sich festhalten, dass sich die Kooperation und Transparenz des Unternehmens mit und gegenüber der Aufsichtsbehörde „bezahlt gemacht“ hat.