Immense Bußgelder bilden seit jeher die vor allem von Beratern gemalte Drohkulisse, mit der Kunden und Mandanten umfangreiche DSGVO-Complianceprojekte verkauft werden. Das scheint zunächst eine erfolgreiche Strategie gewesen zu sein: Nach einer Studie von Ernst & Young sollen die 500 größten Unternehmen ca. 7,8 Milliarden USD für die Erreichung von DSGVO-Konformität aufgewendet haben.

Das Damoklesschwert der Millionenbußen schien jedoch in Deutschland etwas abzustumpfen, als die ersten DSGVO-Bußgelder bekannt wurden: 20.000 EUR für einen mittelschweren Datensicherheitsverstoß waren dann doch sehr viel weniger als erwartet (und befürchtet). Auch wenn die Berliner Beauftragte für Datenschutz und Informationsfreiheit jüngst mit einem Betrag von knapp 200.000 EUR zur Ahndung mehrerer Einzelverstöße eines Essenslieferservice nachgelegt hat, ist man in Deutschland bisher weit entfernt von den nach der DSGVO möglichen 20 Mio. EUR bzw. dem Äquivalent von 4 % des weltweiten Jahresumsatzes des betroffenen Unternehmens.

Dies scheinen die deutschen Aufsichtsbehörden nun ändern zu wollen: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (DSK) hat auf ihrer zweiten Zwischenkonferenz am 25. Juni 2019 ein von ihrem AK Sanktionen erstelltes Konzept zur Bußgeldzumessung gebilligt, welches Anfang September bekannt geworden ist und vor allem für umsatzstarke Unternehmen eine Zeitenwende einleiten könnte.

Ausgangsgröße für das in dem Konzept beschriebene Modell zur Bußgeldbemessung ist dem Vernehmen nach ein Tagessatz in Höhe von 1/360 des Vorjahresumsatzes des betroffenen Unternehmens. Dieser „Grundbetrag“ kann dann abhängig von diversen Faktoren, einschließlich des Schweregrades des Verstoßes, im Einzelfall erhöht oder gesenkt werden. Dennoch dürften sich besonders für Unternehmen mit hohen Umsätzen ganz andere Größenordnungen als bisher ergeben, errechnet sich als Grundbetrag bei einem Jahresumsatz von 1 Mrd. EUR doch immerhin schon eine Summe von stattlichen 2,7 Mio. EUR.

Dabei soll es aber nicht bleiben: Je nach Schwere des Verstoßes erfolgt anschließend eine Multiplikation des Wertes mit einem Faktor zwischen 1 und 14,4 (letzteres führt zu dem gesetzlichen Höchstwert von 4 % des Jahresumsatzes). Die Behörden planen hier eine recht lineare Steigerung: bei einem „mittleren Verstoß“ – also der zweitniedrigsten Kategorie – soll der Ausgangswert mit einem Faktor zwischen 4 und 8 multipliziert werden. Das bedeutet, dass außer in Bagatellfällen mindestens eine Geldbuße in einem zweistelligen Millionenbetrag die Folge ist.

Diese Ankündigung hat Wellen geschlagen. In einer eilig veröffentlichten Pressemitteilung vom 17. September 2019 stellte die DSK deshalb klar, dass das Konzept noch nicht verabschiedet sei und sich noch im Entwurfsstadium befinde. Das Konzept werde in konkreten Bußgeldverfahren derzeit nur begleitend herangezogen, um es auf seine Praxistauglichkeit zu testen. Maßgebliche Grundlage für die Bußgeldzumessung bleibe aber Art. 83. DSGVO.

Veröffentlichen möchte die DSK das Konzept derzeit noch nicht. Entsprechende Anträge auf Zugänglichmachung des Konzepts nach den einschlägigen Informationsfreiheitsgesetzen bearbeiten die Behörden derzeit – soweit ersichtlich sind sie solchen Anträgen aber bisher nicht nachgekommen bzw. haben sie unter Berufung des Entwurfscharakters des Konzepts abgelehnt. Mittlerweile hat die DSK beschlossen, dass über eine Veröffentlichung des Bußgeldkonzepts auf der Konferenz der DSK am 6./7. November 2019 in Trier entschieden werden soll.

Dort soll das Bußgeldkonzept auch weiter beraten werden. So neugierig die bisherigen Informationen auch machen: Es ist gut und richtig, dass die DSK bei dem Bußgeldmodell zunächst die weitere Abstimmung sucht.

Zunächst ist das Modell selbst kritisch zu hinterfragen; vor allem der Umstand, dass es nur aufgrund der Umsatzstärke eines Unternehmens bereits bei vermeintlich banalen Verstößen wie einer unvollständigen Datenschutzerklärung oder der Wahl einer falschen Rechtsgrundlage zu Geldbußen in Millionenhöhe führt. Es darf bezweifelt werden, dass dies im Sinne des Verordnungsgebers war. Ja, auch im Datenschutzrecht sollten kartellrechtsgleiche Sanktionen möglich sein – aber doch bitte nur, wenn auch der Unrechtsgehalt des Datenschutzverstoßes dem eines Kartells gleichkommt. Ein faires Bußgeldmodell muss deshalb sehr viel weniger linear gestaltet sein: bei gravierenden Verstößen darf es teuer werden, bei Lappalien muss aber (wenn überhaupt) eher ein Bußgeld von wenigen Tausend Euro der Regelfall sein.

Außerdem sollte generell von einem nationalen Alleingang Abstand genommen werden. Wie die DSK auch selbst erkannt hat, überantwortet Art. 70 Abs. 1 lit. k DSGVO dem Europäischen Datenschutzausschuss (EDSA) zur Sicherstellung der einheitlichen Anwendung der Verordnung u.a. die Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Festsetzung von Geldbußen gem. Art. 83 DSGVO. Eine EU-weite Harmonisierung ist im Hinblick auf die Bußgeldzumessung dringend geboten: So hat beispielweise die Niederländische Datenschutzaufsichtsbehörde bereits im März 2019 eigene Leitlinien erlassen, denen eine völlig andere Herangehensweise zugrunde liegt. Bedarf nach vereinheitlichenden EDSA-Leitlinien besteht somit. Solche Leitlinien des EDSA sind für die nationalen Datenschutzbehörden keinesfalls unverbindlich. Im Einklang mit dem allgemeinen EU-Recht (u.a. Art. 148 Abs. 2 AEUV) ergibt sich für die Mitgliedstaaten eine rechtliche – und nicht nur eine politische – Pflicht, solche Leitlinien zu berücksichtigen. Damit kommt ihnen Rechtswirkung zu. Die Leitlinien des EDSA haben einen norm- bzw. ermessenskonkretisierenden Zweck (vgl. Thomas, EuR 2009, 423, 426).

Auch wenn solche Leitlinien nicht zu den mit gesetzlicher Bindungswirkung ausgestatteten Rechtsakten i. S. v. Art. 288 AEUV gehören und sie daher den EuGH nicht binden, übersteigt ihre rechtliche Gestaltungskraft die Qualität bloßer Information. Da sie sich an den Rechtsverkehr richten und einen Vertrauenstatbestand schaffen, kommt ihnen eine Garantiefunktion zu (EuG, Urt. v. 03.04.2003 – T-119/02, Slg. 2003, II-1433, Rn. 242 – Royal Philips). Die Europäischen Gerichte haben entschieden, dass schon der allgemeine Gleichheitssatz eine Befolgung von Leitlinien im Rahmen der Entscheidungspraxis der an sie gebundenen Institutionen erfordert (EuGH, Urt. v. 28.06.2005 – C-189/02 P, C-202/02 P, C-205/02 P bis C-208/02 P, C-213/02 P, Slg. 2005, S. 5425, Rn. 209 – Dansk Rørindustri; EuGH, Urt. v. 15.01.2002 – C-171/00 P, Slg. 2002, S. 451, Rn. 35 – Libéros).

Daraus folgt u.a., dass die DSK von solchen Leitlinien nicht willkürlich abweichen oder eine Bußgeldzumessung gar nach völlig anderen Kriterien vornehmen dürfte. Bei den Leitlinien ist dabei eine umso stärkere Berücksichtigungspflicht anzunehmen, je konkreter die Leitlinien des EDSA inhaltliche Vorgaben machen (vgl. zu Art. 148 AEUV: von der Groeben/Schwarze/Arnold Hemmann, 7. Aufl. 2015, AEUV Art. 148 Rn. 7).

Es ist deshalb unabdingbar, dass der Entwurf des DSK-Bußgeldmodells auf Ebene des EDSA besprochen und mit Konzepten zur Bußgeldzumessung anderer EU-Mitgliedstaaten harmonisiert wird und dann in einer entsprechenden Leitlinie des EDSA aufgeht. Wegen der hohen wirtschaftlichen Bedeutung der Bußgeldleitlinien sollte der EDSA bei der Ausarbeitung der Leitlinien sinnvollerweise auch von ihren Möglichkeiten nach Art. 70 Abs. 4 DSGVO Gebrauch machen und interessierte Kreise konsultieren und ihnen Gelegenheit geben, innerhalb einer angemessenen Frist Stellung zu nehmen.

Autor: Dr. Flemming Moos ist Partner bei Osborne Clarke in Hamburg und auf das Datenschutz und IT-Recht spezialisiert. Er ist Mitglied im Beirat des Datenschutz-Berater.