So teuer sind jetzt DSGVO-Bußgelder

Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes – So teuer können Bußgelder bei Verstößen gegen die Datenschutzgrundverordnung für Unternehmen werden. In welchem Bereich eine individuelle Geldbuße in Deutschland etwa liegen würde, das war bislang quasi unbekannt: Ungefähre Richtwerte ließen sich nur aus Bußgeldern ableiten, die gegen andere Verantwortliche verhängt wurden. Vor wenigen Tagen hat die Datenschutzkonferenz (DSK), das Gremium der einzelnen Datenschutzbehörden, aber ein neues Konzept zur Bemessung dieser Sanktionen veröffentlicht – wie teuer ein Verstoß nun wird, lässt sich relativ klar abgrenzen. Los geht es bei etwa 972 Euro.

In 5 Schritten zum ungefähren Bußgeld

1. Schritt
Der Ausgangspunkt ist dabei die Unternehmensgröße, basierend auf dem weltweiten Vorjahresumsatz. Dazu wurden verschiedene Größenklassen geschaffen. Unterteilt werden die Gruppen in Kleinstunternehmen, kleine, mittlere und große Unternehmen (Klassen A, B, C und D). Hier gibt es jeweils noch drei bis sieben Untergruppen. Die kleinste Klasse, A.I., erfasst alle Kleinunternehmen bis 700.000 Euro Jahresumsatz.

2. Schritt
Im zweiten Schritt wird der gemittelte Jahresumsatz der jeweiligen Gruppe bzw. Klasse bestimmt, auf die Werte des Unternehmens selbst kommt es nicht an. In der Klasse A.I. liegt der gemittelte Jahresumsatz somit bei 350.000 Euro.

3. Schritt
Im dritten Schritt wird der wirtschaftliche Grundwert des Unternehmens festgestellt. Dafür wird der gemittelte Jahresumsatz aus Schritt 2 durch 360 Tage geteilt, sodass sich ein durchschnittlicher und gerundeter Tagesumsatz ergibt. Hier: 972 Euro.

4. Schritt
Bis hierhin haben die Umstände des Einzelfalls noch gar keine Rolle gespielt. Das ändert sich mit dem vierten Schritt: Hier geht es um die Schwere der Tat, und damit um die konkreten tatbezogenen Umstände des Einzelfalls – damit wird es etwas komplizierter. So kommen hier etwa Art, Schwere und Dauer des Verstoßes ins Spiel, oder auch die Art der Daten, hinsichtlich derer es einen Verstoß gab – also etwa, ob es sich dabei um besonders sensible Daten zur Gesundheit o.ä. handelt. Auf dieser Grundlage wird die Tat nach ihrer Schwere in eine von vier Gruppen eingeteilt (Leicht, Mittel, Schwer und Sehr Schwer). Wie die Entscheidung hier genau ausfällt, liegt zunächst in den Händen der jeweiligen Datenschutzbehörde. In den verschiedenen Gruppen sind bestimmte Faktoren vorgesehen, mit denen der im 3. Schritt ermittelte Tagesumsatz multipliziert wird. Außerdem wird noch nach der Art des Verstoßes differenziert – es gibt formelle und materielle Verstöße (Siehe Tabelle unten).

5. Schritt
Der im 4. Schritt gefundene Wert wird nun noch an den „Täter“ angepasst – es werden hier noch weitere Punkte zur Berechnung des konkreten Bußgeldes berücksichtigt. In die Bewertung fließt beispielsweise ein, ob es sich um einen vorsätzlichen oder fahrlässigen Verstoß handelt, oder ob der Verantwortliche Maßnahmen getroffen hat, um etwaige Schäden zu minimieren. Auch die Zusammenarbeit mit den Aufsichtsbehörden im Hinblick auf den Umgang mit dem Verstoß soll berücksichtigt werden, sowie jegliche andere erschwerende oder mildernde Umstände des Einzelfalls, beispielsweise eine drohende Zahlungsunfähigkeit.

Das sind die ungefähren Kosten für Kleinstunternehmer:

dsgvobußgelder

Beispiele für materielle Verstöße: Unrechtmäßige Datenverarbeitung, Verstöße gegen die Bedingungen der Einwilligung, Unrechtmäßige Verarbeitung von Daten sensibler Kategorien, Verstöße gegen die Rechte betroffener Personen (bpsw. keine Antwort auf Auskunftsbitte), unrechtmäßige Datenübermittlung an Drittländer, Nichtbefolgung von Anweisungen durch Aufsichtsbehörden und weitere.
Beispiele für formelle Verstöße: Keine geeigneten technischen und organisatorischen Maßnahmen zum Datenschutz getroffen, Verstöße bei Auftragsverarbeitung, Fehlerhaftes Verzeichnis von Verarbeitungstätigkeiten, Keine Schaffung eines angemessenen Schutzniveaus (bspw. keine Verschlüsselung), Keine (rechtzeitige) Meldung von Datenpannen an Aufsichtsbehörden und Betroffene und weitere.

Leichter Verstoß eines Online-Händlers – Beispiel

Online-Händler XY hat einen Jahresumsatz von 200.000 Euro. Da er unter dem geringsten Schwellenwert  (700.000 Euro Jahresumsatz) liegt, wird er in Klasse A.I. einsortiert. Der mittlere Jahresumsatz beträgt in dieser Gruppe 350.000 Euro, der Tagessatz (350.000 geteilt durch 360) beträgt ca. 972 Euro. Für einen leichten formellen Verstoß ergibt sich damit, dass das Bußgeld etwa zwischen 972 und 1.944 Euro beträgt – ohne die Berücksichtigung von Einzelfallumständen.

Für wen gilt das Konzept?

Diese Berechnungsmethode gilt nur in Deutschland und nur für Unternehmer, nicht etwa für gemeinnützige Vereine außerhalb ihrer wirtschaftlichen Tätigkeit. Auch sind Gerichte nicht an diese Berechnung gebunden, vielmehr handelt es sich nur um die Grundlage für die Berechnung von Bußgeldern durch die Datenschutzbehörden. Auch soll sie nur so lange gelten, bis der Europäische Datenschutzausschuss abschließende Leitlinien zur Festsetzung von Bußgeldern erlassen hat. Das Schreiben der Datenschutzkonferenz kann hier abgerufen werden.

Schreibe einen Kommentar