DSGVO-Verstöße: So werden Bußgelder berechnet

Auf einen Blick:

• Die Datenschutz-Grundverordnung (DSGVO) regelt nur die möglichen Höchststrafen bei Datenschutzverstößen. Wie hoch ein Bußgeld im Einzelfall ausfällt, bleibt den Datenschutzbehörden überlassen.
• Die Datenschutzbehörden von Bund und Ländern haben sich jetzt auf ein einheitliches Konzept geeinigt. Die Festsetzung des Bußgeldes erfolgt dabei in fünf Schritten. Ausgangspunkt ist jeweils, der Vorjahresumsatz.
• Neben der wirtschaftlichen Kraft eines Unternehmens wird bei der Berechnung auch die Schwere des DSGVO-Verstoßes berücksichtigt. Bei Bedarf haben die Behörden die Möglichkeit, das berechnete Bußgeld anzupassen.
• Das Konzept gilt in Deutschland so lange, bis es auf europäischer Ebene Leitlinien für die Bemessung von Bußgeldern gibt.

Bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) können Aufsichtsbehörden im Einzelfall Geldbußen verhängen. Das neue Datenschutzrecht regelt allerdings nur die möglichen Höchststrafen. Die liegen laut Artikel 83 DSGVO bei 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Vorjahresumsatzes. Ein Konzept, wie Bußgelder bei DSGVO-Verstößen zu bemessen sind, gab es bislang nicht. Jetzt haben sich die Datenschutzbehörden von Bund und Ländern auf ein gemeinsames Konzept verständigt. Damit wollen sie die Bemessung von Geldbußen „transparent“ und „nachvollziehbar“ machen.

Um ein Bußgeld zu ermitteln, das gegen ein Unternehmen verhängt werden soll, sind dem Konzept zufolge fünf Schritte nötig. Ausgangspunkt der Bußgeldbemessung ist der Umsatz eines Unternehmens. Den Datenschutzbehörden von Bund und Ländern zufolge soll das die „Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherstellen“.

Es gibt vier Größenklassen – das Konzept differenziert zwischen Kleinstunternehmen, kleinen Unternehmen, mittleren Unternehmen und Großunternehmen. Diese Größenklassen sind jeweils in bis zu sieben Gruppen untergliedert. Hier muss das betroffene Unternehmen anhand des Jahresumsatzes, den es im Vorjahr weltweit erzielt hat, eingeordnet werden.

Als Kleinstunternehmen gelten zum Beispiel Betriebe mit einem Jahresumsatz bis zu 2 Millionen. Hier gibt es folgende Untergruppen:

• A.I: Jahresumsatz bis 700.000 Euro
• A.II: Jahresumsatz über 700.00 bis 1,4 Millionen Euro
• A.III: Jahresumsatz über 1,4 bis 2 Millionen Euro

Für jede Untergruppe wird der mittlere Jahresumsatz ermittelt.

Konkrete Zahlen: Bei Kleinstunternehmen der Untergruppe A.I beträgt der mittlere Jahresumsatz 350.000 Euro. Bei Betrieben der Gruppe A.II sind es 1.050.000 Euro und bei Kleinstunternehmen der Gruppe A.III 1,7 Millionen.

Auf Grundlage des mittleren Jahresumsatzes wird für das Unternehmen der wirtschaftliche Grundwert berechnet. Dabei handelt es sich um eine Art Tagessatz. Berechnet wird der, indem der mittlere Jahresumsatz durch 360 geteilt wird.

Beispiel: Der Tagessatz beträgt für ein Kleinstunternehmen der Gruppe A.I 972 Euro. Bei Betrieben der Gruppe A.II liegt der wirtschaftliche Grundwert bei 2.917 Euro. Und für Kleinstunternehmer der Gruppe A.III sind es 4.722 Euro.

Als Nächstes wird der Schweregrad der Tat bestimmt. Ob ein DSGVO-Verstoß als leicht, mittel, schwer oder sehr schwer einzustufen ist, hängt von den konkreten tatbezogenen Umständen des Einzelfalls ab. Der Kriterienkatalog, der die möglichen Umstände genauer beschreibt, ist in Artikel 83, Absatz 2 DSGVO zu finden. Dazu gehören zum Beispiel die Art, die Schwere und die Dauer des Verstoßes.

Aus dem Schweregrad der Tat ergibt sich ein Multiplikationsfaktor. Bei formellen Verstößen – das sind Verstöße gegen Verfahrensanforderungen wie zum Beispiel das Führen eines Verfahrensverzeichnisses – liegt der Faktor zwischen 1 und 6. Bei materiellen Verstößen – sie betreffen Datenverarbeitungen – liegt der Faktor zwischen 1 und 12. Einen materiellen Verstoß können Betriebe zum Beispiel begehen, indem sie die Rechte der betroffenen Person auf Auskunft oder Löschung verletzen.

Um das Bußgeld zu ermitteln, wird schließlich der wirtschaftliche Grundwert mit dem Faktor für die Schwere der Tat multipliziert.

Beispiel: Ein Kleinstunternehmen der Gruppe A.I hat einen leichten Verstoß gegen die DSGVO begangen, für den die zuständige Behörde den Multiplikationsfaktor 1 festlegt. Das Bußgeld beträgt in diesem Fall 972 Euro.

Das in Schritt 4 berechnete Bußgeld wird gegebenenfalls noch nach oben oder unten hin angepasst. Dabei werden sämtliche täterbezogenen Umstände berücksichtigt, aber auch die Verfahrensdauer oder die drohende Zahlungsunfähigkeit des Unternehmens.

Ob fehlerhafte Datenschutzerklärung auf der Website oder eine E-Mail, die versehentlich an einen offenen E-Mail-Verteiler geschickt wird – es gibt viele mögliche Datenschutzverstöße zu begehen. Doch wie genau werden Vergehen künftig von den Behörden geahndet?

„Es ist schwierig, genaue Kategorien zu bilden“, sagt Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz. „Unser Ziel ist Einzelfallgerechtigkeit“, so der Jurist. Weil bei der Bemessung jeweils die genauen Umstände eine Rolle spielen, ist es nicht möglich, allgemeingültige Beispiele für Bußgelder zu nennen.

Dieter Kugelmann nennt aber einige Beispiele, die im Handwerk denkbar sind.

• Eine E-Mail an mehrere Empfänger, bei denen die E-Mail-Adressen im CC und nicht im BCC stehen. „Das ist vermutlich ein leichter Verstoß“, sagt der rheinland-pfälzische Landesdatenschutzbeauftragte. Auch müsse ein solcher Verstoß nicht unbedingt ein Bußgeld zur Folge haben.
• Eine fehlerhafte Datenschutzerklärung. „Das ist vermutlich ein leichter Verstoß, wenn nicht für den Nutzer wichtige Informationen ganz fehlen“, meint Kugelmann. Ein Bußgeld für ein Kleinstunternehmen mit einem Jahresumsatz bis 700.000 könnte sich daher in der Spanne von 972 bis 3888 Euro bewegen.
• Heimliche Überwachung von Mitarbeitern. „Das wäre sicher ein schwerer Verstoß“, sagt der Landesdatenschutzbeauftragte aus Rheinland-Pfalz. Allerdings seien bei der Bußgeldbemessung die Umstände des Einzelfalls zu beachten. Dabei spiele es beispielsweise eine Rolle, ob sich das Unternehmen kooperativ gezeigt hat. „Kooperation mit den Behörden fällt grundsätzlich positiv ins Gewicht“, so Kugelmann. Zieht man das Konzept heran, dürfte sich das Bußgeld für Kleinstunternehmen mit einem Jahresumsatz bis 700.000 Euro etwa im Rahmen von 7.776 bis 11.664 Euro bewegen.

Auf europäischer Ebene gibt es bislang noch kein Konzept für die Bemessung von Geldbußen. Laut DSK, dem Gremium der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, wird allerdings darüber verhandelt. Das Konzept der deutschen Datenschutzbehörden gilt daher nur solange, bis der Europäische Datenschutzausschuss endgültige Leitlinien zur Festsetzung von Geldbußen erlässt.

Das vollständige Konzept der Datenschutzbehörden finden Sie auf der Website der Datenschutzkonferenz.

Auch interessant: [embed]https://www.handwerk.com/muessen-aufsichtsbehoerden-unternehmen-zur-dsgvo-beraten[/embed]