Der Bundesdatenschutzbeauftragte (BfDI) gab jüngst bekannt, dass er gegen die 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Mio. EUR verhängt hat. 1&1 hat gute Chancen, gerichtlich gegen den Bußgeldbescheid vorzugehen. Denn der Bußgeldbescheid ist völlig überhöht.
Ansatz des BfDI
In dem Verfahren der Bonner Datenschützer ging es um die Servicehotline von 1&1. Einem Anrufer war es nach den Feststellungen des BfDI gelungen, durch Angabe des Namens und Geburtsdatums seines Ex-Lebenspartners Informationen über dessen Vertrag zu erlangen (siehe 1&1, „1&1 klagt gegen Bußgeldbescheid der Datenschutzbehörde“, v. 9.12.2019).
Nach Auffassung des BfDI lag hierin ein Verstoß gegen Art. 32 DSGVO, da 1&1 keine ausreichenden Vorkehrungen zur Datensicherheit getroffen habe (BfDI, „BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister“, v. 9.12.2019).
- Bußgeld in Tagessätzen
Besonders bemerkenswert: Die Datenschutzbehörde meinte, das stattliche Bußgeld bewege sich „im unteren Bereich des möglichen Bußgeldrahmens“. Dabei bezogen sich die Datenschützer ersichtlich auf das kürzlich von den deutschen Behörden verabschiedete „Bußgeldkonzept“ (kritisch Timner/Radlanski/Eisenfeld, CR 2019, 782 ff.). Das „Bußgeldkonzept“ sieht eine schematische Berechnung der Bußgelder anhand von „Tagessätzen“ vor. Die „Tagessätze“ bemessen sich nach dem Jahresumsatz des jeweiligen Unternehmens.
„Tagessätze“, wie man sie eigentlich nur aus dem Strafrecht kennt, lohnen sich bei einem umsatzstarken Unternehmen. Die 1&1 Telecom GmbH gehört zum United Internet-Konzern, der 2018 einen Umsatz von 5,13 Milliarden EUR erzielte (United Internet, Geschäftsbericht 2018). Teilt man diesen Betrag durch 360, ergibt sich hieraus ein „Tagessatz“ von 14,25 Mio. EUR.
- Gewichtung nach Bußgeldkonzept:
Nach dem deutschen „Bußgeldkonzept“ werden Bußgelder berechnet, indem Datenschutzverstöße mit Faktoren zwischen 1 und 12 gewichtet werden. Der (einfache) „Tagessatz“ bildet somit die Untergrenze. Und es wird sofort verständlich, weshalb man in Bonn meint, man habe sich mit 9,55 Mio. EUR maßvoll „im unteren Bereich“ bewegt und sogar noch gnädig von seinem Ermessen Gebrauch gemacht, das bei mildernden Umständen ein Unterschreiten der Untergrenze zulässt.
Zulässigkeit nach DSGVO
Aber ist es nach der DSGVO überhaupt zulässig, die Bemessung der Bußgeldhöhe ganz wesentlich an der Umsatzhöhe zu orientieren?
- Kriterien nach Wortlaut
Kriterien für die Bemessung des Bußgelds sind in Art. 83 Abs. 2 Satz 2 DSGVO zu finden. Danach bemisst sich das Bußgeld unter anderem nach der Art, Schwere und Dauer des Rechtsverstoßes sowie nach dem Schaden, den Betroffene erlitten haben (Art. 83 Abs. 2 Satz 2 lit. a DSGVO), nach dem Verschuldensgrad (Art. 83 Abs. 2 Satz 2 lit. b DSGVO) und nach den Kategorien von Personendaten, die von dem Rechtsverstoß betroffen sind (Art. 83 Abs. 2 Satz 2 lit. g DSGVO).
=> Der Umsatz des Unternehmens wird in dem Kriterienkatalog des Art. 83 Abs. 2 Satz 2 DSGVO nicht genannt. Der Gesetzeswortlaut legt es daher keineswegs nahe, bei der Bemessung des Bußgelds stets primär auf die Umsatzzahlen des Unternehmens abzustellen, das den Rechtsverstoß begangen hat (so auch Timner/Radlanski/Eisenfeld, CR 2019, 782, 783 Rz. 8-14).
- Leitlinie:
Art. 83 Abs. 1 DSGVO schreibt als Leitlinie vor, dass Bußgelder „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein müssen. Welche konkreten Folgerungen sich hieraus ableiten lassen, ist unklar (vgl. Becker in Plath DSGVO/BDSG, 3. Aufl. 2018, Art. 83 DSGVO, Rz. 6; Golla in Auernhammer, DSGVO BDSG, 6. Aufl. 2018, Art. 83, Rz. 10 f.; Popp in Sydow, DSGVO, 2. Aufl. 2018, Art. 83 DSGVO, Rz. 10: „allgemein gehaltene traditionelle Floskel europäischer Rechtsakte“).
Allerdings erscheint es vertretbar, aus dem Erfordernis des „Wirksamkeit“ und „Abschreckung“ abzuleiten, dass das Bußgeld der Höhe nach geeignet sein muss, das Unternehmen zu einer Verhaltensänderung zu motivieren (zweifelnd Moos/Schefzig in Taeger/Gabel, DSGVO BDSG, 3. Aufl. 2019, Art. 83 DSGVO, Rz. 26).
Unzulässigkeit von Tagessätzen
Wenn die Umsatzhöhe ein Faktor ist, der in Art. 83 Abs. 2 DSGVO zwar nicht ausdrücklich genannt wird, aber dennoch in die Bemessung der Bußgeldhöhe einfließen darf, heißt dies noch lange nicht, dass die Datenschutzbehörden anhand des Umsatzes „Tagessätze“ bilden und bei jedem Bußgeldbescheid von Umsatzgrößen ausgehen dürfen.
Mindestens vier Gründe sprechen gegen die Rechtmäßigkeit von „Tagessätzen“ als Berechnungsgrundlage für Bußgelder:
- Bestimmtheitsgebot:
Nach Art. 49 Abs. 1 Satz 1 GRCh gilt für Strafgesetze das Bestimmtheitsgebot, das sich nicht auf die gesetzlich festzulegende Straftat, sondern auch auf deren Folge – die Strafe – erstreckt (Jarass in Jarass, CRCh, 3. Aufl. 2016, Art. 49, Rdnr. 11). Daher ist es mehr als zweifelhaft, ob es verfassungsrechtlich zulässig ist, bei der Strafzumessung zentral auf „Tagessätze“ abzustellen, obwohl der Umsatz als Kriterium für die Strafzumessung in Art. 83 Abs. 2 DSGVO nicht einmal erwähnt wird (so auch Timner/Radlanski/Eisenfeld, CR 2019, 782, 784 Rz. 22 und 25-28). - Grundrechtsschutz:
Das europäische Datenschutzrecht dient erklärtermaßen dem Schutz der Grundrechte europäischer Bürger (vor allem Art. 8 GRCh). Und der Grundrechtsschutz unterscheidet und gewichtet nicht nach Unternehmensgrößen. Ein kleines Unternehmen, das seine Mitarbeiter und Kunden bis in die Intimsphäre ausspioniert, greift deutlich tiefer in Grundrechte ein als ein großer TK-Konzern, der Vertragsinformationen unzureichend gegen den Zugriff Dritter schützt (so auch Timner/Radlanski/Eisenfeld, CR 2019, 782, 787 Rz. 44-48, die insoweit den Verhältnismäßigkeitsgrundsatz, das Willkürverbot und das Schuldprinzip verletzt sehen). - Keine Parallele zum Kartellrecht:
Das Datenschutzrecht hat Schutzanliegen, die mit dem Kartellrecht nicht vergleichbar sind. Das Kartellrecht schützt die Funktionstüchtigkeit des Marktes und möchte beispielsweise verhindern, dass sich Unternehmen durch Preisabsprachen unlautere Vorteile verschaffen. Diese Vorteile lassen sich in Euro und Cent beziffern, sodass es nur logisch erscheint, Strafen anhand der entsprechenden Beträge zu ermessen. Die Vorteile eines Datenschutzverstoßes sind dagegen zumeist schwer messbar. Wer Mitarbeiter und Kunden ausspioniert, verschafft sich hierdurch oft keine in Geld messbaren Vorteile. Der Datenschutzverstoß ist dennoch gravierend wegen der gezielten Missachtung der Rechte der Betroffenen. Möchte man hierfür einen Ausgleich schaffen, wäre eine Orientierung an „Tagessätzen“ willkürlich (zum Willkürverbot siehe Timner/Radlanski/Eisenfeld, CR 2019, 782, 787 Rz. 47 f.). - Missverständnis des Kartellrechts:
Selbst wenn man sich bei der Bußgeldbemessung am Kartellrecht orientieren könnte, gibt die kartellrechtliche Praxis nichts für „Tagessätze“ her. Denn die kartellrechtliche Bußgeldpraxis orientiert sich keineswegs an „Tagessätzen“, sondern an einem „Grundbetrag“. Bei der Bemessung dieses „Grundbetrages“ schaut die Europäische Kommission nicht auf den Jahresumsatz des jeweiligen Unternehmens, sondern auf den Wert der „verkauften Waren oder Dienstleistungen, die mit dem Verstoß in einem unmittelbaren oder mittelbaren Zusammenhang stehen“ (EU-Kommission, „Leitlinien für das Verfahren zur Festsetzung von Geldbußen“). Die Bußgeldhöhe legitimiert sich somit nicht aus der Größe des jeweiligen Unternehmens, sondern aus den Vorteilen, die das Unternehmen aus dem Rechtsverstoß gezogen hat.
Gerichtliche Klärung
Nach den ersten deutschen Millionenbußgeldern sind jetzt die Gerichte am Zug. Sehr unwahrscheinlich, dass nach den ersten Gerichtsverfahren viel von dem „Bußgeldkonzept“ und den „Tagessätzen“ übrigbleiben wird.
(Diesen Beitrag habe ich gemeinsam mit meinem Kollegen Lasse Konrad verfasst: https://www.haerting.de/team/lasse-konrad. Der Beitrag ist der sechste Teil der Beitragsreihe zur “DSGVO im Rechtsstaat”)