Bußgelder

Damit die Verantwortlichen, also die Unternehmen, den Datenschutz wirklich ernst nehmen, sieht die DSGVO Geldbußen vor. In der Verordnung heißt es dazu:

„Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden.“

Artikel 83 DSGVO fordert die Aufsichtsbehörden auf, in jedem Einzelfall solche Geldbußen zu verhängen, die wirksam, verhältnismäßig und abschreckend sind.

Wie solche Geldbußen zu berechnen sind, haben die Aufsichtsbehörden des Bundes und der Länder in Deutschland in einem Bußgeld-Konzept vom 14.10.2019 zusammengefasst. Danach wird in einem 5-stufigen Verfahren das Bußgeld ermittelt, und zwar wie folgt:

  1. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet,
  2. danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt
  3. dann wird ein wirtschaftlicher Grundwert ermittelt (diese betragen zwischen 972 € als Tagessatz bis zu 1,25 Mio. € oder im Einzelfall darüber)
  4. sodann dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (Faktor 1,0 bis 12,0)
  5. und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (diese werden in Art. 83 Abs. 2 DSGVO aufgelistet. Dazu zählen u.a. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens, ob der Verstoß gegen die Vorschriften vorsätzlich oder fahrlässig erfolgt ist und viele andere Kriterien).

Wie auch immer: Der Spaß wird für die Unternehmen teuer, sehr teuer sogar.

Im Fall der Verhängung eines Bußgeldes können die intern Verantwortlichen (z.B. die Geschäftsführer einer GmbH) wegen Compliance-Verstößen gegenüber der Gesellschaft haftbar sein. Allerdings ist nach herrschender Auffassung der Regress des Verantwortlichen gegenüber der Geschäftsführung auf Ausnahmefälle beschränkt.

Noch weniger droht den Mitarbeitern ein Regress. Zwar muss sich das Unternehmen ein Verschulden seiner Arbeitnehmer und sonstigen Erfüllungsgehilfen zurechnen lassen (LG Bonn, Urteil vom 11.11.2020 – 29 OWi 1/20, juris). Im Innenverhältnis ist jedoch, ebenso wie im Kartellrecht, ein Regress auf Fälle des Exzesses beschränkt. Ein Exzess liegt z.B. dann vor, wenn ein Bankmitarbeiter aus persönlichen Gründen Bankdaten eines Kunden ausspioniert, um diese für private Zwecke auszunutzen. Einen solchen Verstoß muss sich die Bank nur dann als eigenen Datenschutzverstoß anrechnen lassen, wenn zumutbare Vorkehrungen zur Verhinderung missbräuchlicher Zugriffe unterlassen wurden. Dies ist im Einzelfall zu überprüfen.