Am 14.10.2019 wurde das Konzept der Deutschen Datenschutzaufsichtsbehörden zur Bemessung von Geldbußen aufgrund von Datenschutzverstößen veröffentlicht. Dieses soll angewendet werden, bis die späteren Leitlinien des Europäischen Datenschutzausschusses veröffentlicht werden.
Es findet Anwendung auf Geldbußen gegen Unternehmen. Die Festsetzungen aufgrund dieser Leitlinien sind nicht bindend, sondern können gerichtlich angegriffen werden.
Nach dem Konzept stellt der Umsatz eines Unternehmens den maßgeblichen Ausgangspunkt für die Bemessung des Bußgeldes dar. Hierfür wird das Unternehmen entsprechend der Größe umsatzmäßig eingestuft. Die kleinste Kategorie bilden hierbei Unternehmen mit einem Jahresumsatz bis zu 700.000 EUR.
Angesichts dessen, dass es durchaus viele inhabergeführte Unternehmen gibt, die einen weitaus geringeren Umsatz als bis zu 700.000 € oder gar 350.000 EUR erzielen, erscheint diese Kategorie wiederum anpassungswürdig. Es bleibt abzuwarten, ob die Gleichbehandlung aller Unternehmen mit einem Jahresumsatz bis zu 700.000 EUR trotz der im Modell vorgesehenen Bildung des Mittelwerts von 350.000 EUR tatsächlich zu einer gerechten Bestrafung führt. Insbesondere dürften Kleinunternehmen hierdurch verhältnismäßig scharf bestraft werden, es sei denn, es erfolgt später - in der letzten Bewertungsstufe-- eine Berücksichtigung dieses Umstands.
Nach der Umsatzeingruppierung des Unternehmens soll der Schweregrad der Tat (leicht / mittel / schwer / sehr schwer) berücksichtigt werden, wobei das Konzept in Tab. 4 auf Seite 8 hierfür eine grobe Strukturierung nach der Art der Vorwürfe vorsieht. Entsprechend der dortigen „Schweregrade“ werden Multiplikationsfaktoren ermittelt.
Für formelle Verstöße gemäß Art. 83 Abs. 4 DSGVO im leichten Umfang beträgt der Faktor 1 - 2, hingegen beträgt der Multiplikationsfaktor für materielle Verstöße gemäß Art. 83 Abs. 5 oder Abs. 6 DSGVO bereits 1 – 4, bei sehr schweren Fällen kann der Multiplikationsfaktor 12 betragen. Materielle Verstöße sind sämtliche Verstöße, die die Rechte der betroffenen Personen auf Information gemäß Artikel 13 DSGVO, auf Auskunft oder Löschung betreffen, ebenso bspw. fehlende Rechtsgrundlagen für die Verarbeitung, unwirksame Einwilligungen etc..
Mit dem dann errechneten Multiplikationsfaktor wird der zuvor ermittelte Tagessatz multipliziert und dann in letzter Stufe anhand weiterer täterbezogener und sonstiger, noch nicht berücksichtigte Umstände angepasst wird.
Aufgrund der niedergelegten Kriterien soll eine nachvollziehbare, Transparente und Einzelfall gerechte Form der Bußgeldzumessung erfolgen. Es erscheint allerdings fraglich, ob dieses Ziel mittels des Konzepts erreicht werden kann, da z.B. unklar bleibt, wie der Schweregrad der Tat letztlich festgelegt wird und welche Kriterien hierfür maßgebend sind. Gleiches gilt für den ebenfalls flexiblen Multiplikationsfaktor pro Stufe des Schweregrads, dessen Höhe einen erheblichen Einfluss auf die Höhe der Geldbuße hat. Wird beispielsweise der Schweregrad der Tat auf „schwer“ festgesetzt, ist der Multiplikationsfaktor für materielle Verstöße mit 8-12 deutlich höher, und kann letztlich bis zu das dreifache des Schweregrads „mittel“ betragen.