Neues Modell zur Berechnung von Bußgeldern II


Im Rahmen der Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder wurde ein neues Modell zur Berechnung von Bußgeldern entwickelt. Bei einem zu ahndenden Verstoß werden als erstes ein Tagessatz sowie ein Multiplikationsfaktor festgelegt, welche die Basis für die Höhe bilden. Dabei orientiert sich die Aufsichtsbehörde am Vorjahresumsatz und der Ausgangsschwere des Verstoßes und legt den Grundstein für die weitere Berechnung. Teil I des Beitrages ist hier zu finden.

Schritt 3: Art, Schwere und Dauer des Verstoßes

Bei der darauffolgenden Beurteilung setzt sich die Aufsichtsbehörde konkret mit dem Verstoß auseinander und ordnet diesen anhand der Kriterien aus Art. 83 Abs. 2 a) DS-GVO ein. Bei der Bemessung eines Bußgelds wird also ein besonderes Augenmerk auf Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens gelegt.

Jedem der genannten Kriterien werden 0 bis 4 Punkte zugeordnet, woraus am Ende eine Summe gebildet wird. Dabei gilt folgendes:

Der dadurch ermittelte Gesamtwert zwischen 0 und 16 wird anschließend in eine Tabelle eingetragen. Je nach der Höhe des Wertes wird die Geldbuße entweder erhöht, vermindert oder bleibt gleich. 0 bis 5 Punkte sollen zu einer Senkung, 6 bis 10 Punkte zu keiner Veränderung und 11 bis 16 zu einer Erhöhung führen.

Schritt 4: Kriterien des Art. 83 Abs. 2 DS-GVO

Nachdem der Verstoß an sich untersucht und bewertet wurde, beschäftigt sich die Aufsichtsbehörde mit dem Verantwortlichen und dessen Verhalten. Es kommt hier maßgeblich darauf an, ob Fahrlässigkeit oder Vorsatz gegeben ist und ob der Verstoß durch entsprechende Maßnahmen hätte vermieden werden können. Etwaige vorherige Verstöße oder die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt geworden ist, werden ebenfalls berücksichtigt.

Konkret werden die Punkte b) bis k) von Art. 83 Abs. 2 DS-GVO überprüft und damit nahezu alle erdenklichen Umstände eines Datenschutzverstoßes erfasst.

Anders als in Schritt 3 und 4 findet allerdings keine Zuordnung nach Punkten, Faktoren oder Tabellen statt. Es werden unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes alle Kriterien erfasst, bewertet und abgewogen. Anschließend kann es aufgrund dieser Abwägung zu Erhöhungen von bis zu 300 Prozent oder Senkungen von bis zu 25 Prozent kommen.

Schritt 5: Abschluss

Abschließend überprüft die Behörde alle noch nicht erfassten Umstände und entscheidet darüber, ob weitere Modifikationen des ermittelten Bußgelds notwendig sind. Des Weiteren wird sichergestellt, dass die in Art. 83 Abs. 4 bis 6 DS-GVO normierten Höchstbeträge nicht überschritten werden.

Ein Bußgeldbescheid ist ein Verwaltungsakt im Sinne des § 35 VwGO und daher eine hoheitliche Maßnahme. Aus diesem Grund muss sichergestellt werden, dass keine Ermessensfehler vorliegen und die berechnete Geldbuße auch verhältnismäßig ist. Falls daran Zweifel bestehen, kann der Verantwortliche die Höhe vom zuständigen Verwaltungsgericht überprüfen lassen.

Es bleibt abzuwarten, mit welcher Konsequenz die Behörden das neue Bußgeldmodell anwenden werden. Bei strikter Umsetzung ist wohl mit einem deutlichen Anstieg der verhängten Bußgelder zu rechnen.

29.11.2019

zurück zu den News