DA+

Editorial : Zielgenaue Berechnung von Bußgeldern für Datenverstöße : aus der RDV 1/2020, Seite 1 bis 2

Die ersten Bußgelder nach der im Mai vergangenen Jahres in Kraft getretenen Datenschutzgrundverordnung sind verhängt worden. Sie sind deutlich höher als bisher im Datenschutzrecht bekannt. Das verwundert nicht, eröffnet doch das Europarecht nun (statt wie bislang bis zu 300.000 Euro, vgl. § 43 BDSG-alt) einen Bußgeldrahmen
bis zu 10 Millionen Euro oder 2 % des weltweiten Konzernumsatzes, bei besonders schwerwiegenden Verstößen sogar das Doppelte (Art. 83 DS-GVO). Europa verpflichtet zu Geldbußen die „wirksam, verhältnismäßig und abschreckend“ sind. Fast 15 Millionen für
die Deutsche Wohnen durch den Berliner Datenschutzbeauftragten und nun knapp 10 Mio. Euro für den Telekommunikationsanbieter 1 & 1 scheinen daher auf dem ersten Blick fast nur
konsequent. Näheres Hinsehen führt freilich zu Fragen:

Die hohen Summen sind vor allem dadurch bedingt, dass das im Oktober verabschiedete Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Buß-
geldzumessung in Verfahren gegen Unternehmen maßgeblich auf den Jahresumsatz eines Unternehmens abstellt. Ausgehend davon wird ein wirtschaftlicher Grundwert ermittelt, der dann durch Multiplikation unter Berücksichtigung der in Art. 83 Abs. 2 DS-GVO die Höhe der Buße bestimmt. Trotz des Charmes mathematischer Genauigkeit ist es verfehlt, den Umsatz als einzig relevante Ausgangsgröße zur Bemessung der Wirtschaftskraft des Unternehmens zu nutzen. Mit den Zielen des Bußgelds hat dies nichts zu tun:

Das Europarecht fordert das nicht. Bei den Kriterien zur Höhe des Bußgelds ist der Umsatz nicht genannt, sondern nur der Bußgeldrahmen wird dadurch limitiert. Das ist europarechtlich nicht ganz ungewöhnlich und etwa aus dem Kartellrecht bekannt. Für die Höhe der Buße ist der Umsatz dann aber nur einer von zahlreichen Faktoren. Das Gewinn- und Schadenspotential ist dort die eigentliche Kerngröße, von der ausgehend die Buße gebildet wird. Das ist auch richtig. Denn ob eine Buße abschreckend ist, das richtet sich danach, wieviel Gewinnmarge sie frisst; wird sie aber zu hoch, läuft sie Gefahr, nicht mehr verhältnismäßig zu sein. Soll die Verhältnismäßigkeit gewahrt sein, dann muss zentraler Parameter zur Bestimmung des wirtschaftlichen Grundwerts der Gewinn des Unternehmens oder das Schadenspotential des Datenverstoßes sein, nicht der Umsatz. Der ist eine Schranke allein im Hinblick auf den Höchstbetrag. Große Anwaltskanzleien streben zuweilen eine Marge von 50 % an, der Einzelhandel kalkuliert mit weniger als 5 %. Beide gleich zu behandeln, nur weil sie den gleichen Umsatz erwirtschaften, kann nicht richtig sein.

Bußgelder leben wie alles Recht letztlich von gesellschaftlicher Akzeptanz – und für den Datenschutz gilt dies vielleicht umso mehr. Die aber ist nur gesichert bei einem stimmigen Sanktionensystem. Offensichtlich verfehlte Ergebnisse müssen verhindert werden. Es ist daher aller Mühe wert, an das vorliegende Konzept noch einmal Hand anzulegen, damit das europäische Recht stimmig interpretiert wird: Das Ziel ist klar, und jeder Schritt auf dem Weg dorthin ist verdienstvoll.

Prof. Dr. Gregor Thüsing
Prof. Dr. Hans Kudlich