Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30. Oktober 2019 ein Bußgeld in Höhe von rund 14,5 Millionen Euro gegen eine in Berlin ansässige Wohnungsgesellschaft wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) verhängt. Während die bislang in Deutschland unter der DS-GVO verhängten Bußgelder maximal rund 195.000 Euro betragen hatten, handelt es sich bei dem nun verhängten Bußgeld um das erste Bußgeld in Deutschland, das die Millionengrenze (deutlich) überschreitet. Gleichzeitig stellt es die höchste Bußgeldforderung dar, die jemals eine Datenschutzbehörde gegen ein Unternehmen in Deutschland erhoben hat. Der hohe Bußgeldbetrag ist auch eine Folge des neuen Konzepts zur Berechnung von Geldbußen, das die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) kürzlich veröffentlicht und damit zugleich eine Ära höherer datenschutzrechtlicher Bußgelder eingeläutet hat.
Um welchen Datenschutzverstoß ging es?
Ausweislich der Pressemitteilung der Berliner Datenschutzbehörde kam bei dem betroffenen Unternehmen für die Speicherung personenbezogener Daten ihrer Kunden ein Archivsystem zum Einsatz, aus dem nicht mehr erforderliche Daten nicht mehr entfernt werden konnten. In der Folge wurden in großer Zahl und über einen längeren Zeitraum hinweg personenbezogene Daten gespeichert, deren Kenntnis nicht mehr erforderlich war. Unter den gespeicherten Daten befanden sich z.B. auch Sozial- und Krankenversicherungsdaten, Arbeitsverträge oder Informationen über finanzielle Verhältnisse. Nach Ansicht der Behörde lag hierin ein Verstoß gegen Art. 25 Abs. 1 DS-GVO und Art. 5 DS-GVO, den das Unternehmen trotz dringende Empfehlung, das Archivsystem umzustellen, nicht abgestellt hatte.
Wie wurde das Bußgeld bemessen?
Das erste Millionenbußgeld für Datenschutzverstöße in Deutschland kommt nicht überraschend. Die Aufsichtsbehörden hatten seit längerem schärfere Sanktionen angekündigt. Vor wenigen Wochen veröffentlichten sie ein Konzeptpapier zur Berechnung von Bußgeldern, das im aktuellen Fall zur Anwendung kam. Ausgangspunkt der Bußgeldbemessung ist danach der weltweite Jahresumsatz des Unternehmens, das den Verstoß begangen hat, oder – bei Konzernunternehmen – der Konzernumsatz. Anhand der Umsatzgröße wird das Unternehmen in eine von insgesamt 20 Größenklassen eingeteilt. Für jede dieser Größenklassen setzt das Konzeptpapier einen pauschalen mittleren Jahresumsatz an, der dann durch 360 (Tage) geteilt wird, um einen Tagessatz für die Bußgeldberechnung zu ermitteln. Diese Tagessätze reichen von 972 Euro für Kleinstunternehmen mit weniger als 700.000 Euro Jahresumsatz bis zu 1,25 Millionen Euro bei einem Umsatz von 450 Millionen Euro. Für Großunternehmen mit mehr als 500 Millionen Euro Jahresumsatz wird der Tagessatz anhand der konkreten Umsatzzahlen ermittelt; bei 1 Milliarde Euro ergibt sich z.B. ein Tagessatz in Höhe von 2,8 Millionen Euro.
Zur konkreten Bußgeldbestimmung wird der Tagessatz mit einem Faktor multipliziert, der den Schweregrad des Verstoßes ausdrückt. Die Skala reicht von 1 für leichte Verstöße bis zu 12 und höher für Taten, die als sehr schwerwiegend eingeordnet werden. Die Grenze für die Wahl des Faktors wird durch den Bußgeldrahmen in Art. 83 Abs. 4 DS-GVO (10 Millionen Euro oder, falls höher, 2 % des Jahresumsatzes bei „formellen“ Verstößen) und Art. 83 Abs. 5, 6 DS-GVO (20 Millionen Euro oder, falls höher, 4 % des Jahresumsatzes bei „materiellen“ Verstößen) gezogen.
Am Ende sieht das Konzept der Aufsichtsbehörden noch ein „Feintuning“ des rechnerisch ermittelten Bußgeldbetrages vor, bei dem alle Umstände berücksichtigt werden, die nicht bereits in die Bewertung der Schwere der Tat eingeflossen sind (z.B. Grad des Verschuldens, etwaige frühere Verstöße, aber auch Verfahrensdauer oder eine drohende Zahlungsunfähigkeit).
Der Fokus auf den Umsatz als Bemessungsgrundlage führt dazu, dass Großunternehmen selbst bei vergleichsweise „harmlosen“ Verstößen mit Bußgeldern in Millionenhöhe rechnen müssen. Zur Einordung: Der Jahresumsatz des im Berliner Fall betroffenen Unternehmens liegt nach den Angaben der Behörde bei ca. 1 Milliarde Euro und es handelte sich um einen „mittelschweren“ Verstoß.
Wie ist das Bußgeld (rechtlich) zu bewerten?
Rechtlich werfen die Bußgeldbemessung im konkreten Fall und das zugrundeliegende Konzept der Aufsichtsbehörden eine Vielzahl von Fragen auf. Es ist z.B. heftig umstritten, ob bei Datenschutzverstößen durch konzernangehörige Unternehmen tatsächlich auf den Konzernumsatz abgestellt werden darf. Angesichts der enormen Bußgeldhöhe drängt sich natürlich auch die Frage nach der Verhältnismäßigkeit auf. Es ist davon auszugehen, dass diese Themen in Kürze die Gerichte beschäftigen werden. Bis zu einer höchstrichterlichen Klärung durch den BGH oder den EuGH dürfte es allerdings noch einige Zeit dauern. Es ist auch keineswegs ausgemacht, dass sich die deutschen Aufsichtsbehörden mit ihrer neuen Methode der Bußgeldbemessung im Kreise ihrer europäischen Kollegen durchsetzen können. Die DS-GVO sieht ein Verfahren vor, dass einen europaweit einheitlichen Vollzug der DS-GVO Datenschutzregeln sicherstellen soll. Es ist gut möglich, dass der dafür zuständige „Europäische Datenschutzausschuss“ die deutschen Behörden noch zu Änderungen zwingt, die im Ergebnis sowohl zu einer Abmilderung als auch zu einer Verschärfung der Bußgeldbemessung führen könnten.
Was ist zu tun?
Nach der Entscheidung der Berliner Datenschutzbehörde dürfte klar sein, dass Bußgelder wegen Datenschutzverstößen künftig deutlich höher ausfallen werden als bisher. Das zwingt dazu, sich jetzt intensiv mit Maßnahmen zur Risikominimierung zu befassen:
- Datenschutz-Compliance: Die beste Risikominimierungsstrategie liegt selbstverständlich in der Vermeidung von Datenschutzverstößen. Auch wenn eine vollständige Datenschutz-Compliance kaum je erreichbar ist, sollten Unternehmen zumindest die grundlegenden organisatorischen Themen im Griff haben, die besonders im Fokus der Aufsichtsbehörden stehen. Dazu zählen u.a.:
- die ordentliche Dokumentation der Datenverarbeitungstätigkeiten im Unternehmen (Stichwort: „Verzeichnis von Verarbeitungstätigkeiten“)
- Abschluss und Dokumentation von Datenschutzverträgen mit allen Dienstleistern, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten
- Implementierung und Umsetzung eines Konzepts zur Löschung von personenbezogenen Daten, die für keinen legitimen Verarbeitungszweck mehr erforderlich sind
- Durchführung und Dokumentation von Datenschutz Folgenabschätzungen für „sensible“ Verarbeitungsverfahren
- Sensibilität für Datenschutzthemen: Spätestens jetzt sollte klar sein, dass Datenschutz-Compliance „Chefsache“ ist. Die Unternehmensleitung ist dafür verantwortlich, dass jedem Mitarbeiter die Bedeutung des Datenschutzes bewusst ist. Das setzt voraus, dass sich die Führungsspitze des Unternehmens selbst für Datenschutzthemen sensibel zeigt und sich aktiv um Datenschutz-Compliance bemüht („tone from the top“)
- Strategie für den Ernstfall: Wird ein Datenschutzverstoß im Unternehmen entdeckt, muss i.d.R. sehr schnell und trotzdem besonnen gehandelt werden. Das gelingt nur, wenn die Abläufe und Entscheidungskompetenzen für einen solchen Fall klar definiert und im Unternehmen bekannt sind. Kooperation mit der Aufsichtsbehörde ist gesetzlich vorgeschrieben und wirkt sich in der Regel positiv auf die Bußgeldbemessung aus. Dies bedeutet aber nicht, dass Vorwürfe vorschnell eingeräumt und auf Maßnahmen zur Verteidigung verzichtet werden sollte. Eine erfolgversprechende Kommunikation mit der Behörde setzt Klarheit über die rechtliche Bewertung des Vorfalls und eine gründliche Abwägung der taktischen Optionen voraus.