DSGVO Bußgeld-Transparenz: Welche Strafen Unternehmen wirklich zahlen

avatar

Timo Schmidt - 5 Min. Lesezeit

header-picture

DSGVO-Update: In welchen Fällen und wie viel Unternehmen bei Datenschutzverstößen wirklich zahlen müssen ... Dass die DSGVO nun ihre Zähne zeigt, ist mittlerweile offensichtlich. Kürzlich erst verhängte die Berliner Datenschutzbehörde ein Bußgeld von 14,5 Millionen Euro gegen die Deutsche Wohnen*. Ursache war der laxe Umgang mit Mieterdaten. Und während alle noch über die Höhe staunen, weiß keiner so genau, wie die Datenschutzbehörden derartige Geldbußen überhaupt bemessen. Bis jetzt: ein neues Konzept der DSK soll Licht ins Dunkel bringen ... Timo Schmidt, ago

Seit Mai 2018 ist die Angst vor Bußgeldzahlungen groß. Mitschuld daran hat nicht nur die zum Teil noch unklare Auslegung der Datenschutz-Grundverordnung (DSGVO), sondern auch das Unwissen darüber, wie die Höhe der Strafen eigentlich bemessen wird. Seit dem 14. Oktober 2019 ist das anders: Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein (PDF, ungated) Konzept zur einheitlichen Festsetzung von Geldbußen veröffentlicht. Es schlüsselt präzise auf, wie teuer – und schmerzhaft – ein Verstoß für Unternehmen werden kann. Ziel ist es, eine transparente und einzelfallgerechte Form der Bußgeldzumessung zu garantieren.

 

In 5 Schritten zur Bußgeldzumessung

Ausgangspunkt ist der Jahresumsatz, auf dessen Basis ein fünfstufiges Verfahren zur Berechnung der Geldbußen erfolgt. Dabei betont die DSK, dass der individuelle Umsatz eines Unternehmens ihrer Meinung nach ein für alle fairer Ansatz ist.

1. Bestimmung der Klasse durch den Jahresumsatz

Anhand des durchschnittlichen Jahresumsatzes werden Unternehmen in eine von vier Klassen eingeteilt (A, B, D, C). Jede Klasse beinhaltet noch drei bis sieben weitere Untergruppen. Von der kleinsten Klasse A.I mit einem Jahresumsatz von bis zu 700.000 Euro bis hin zu D.VII mit einem Jahresumsatz von über 500 Millionen Euro sind hier von Kleinstunternehmen über KMUs bis hin zu großen Konzernen alle Abstufungen enthalten.

2. Ermittlung des mittleren Jahresumsatzes

Dann wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, anhand fiktiver Durchschnittszahlen bestimmt. Dieser Schritt dient der Veranschaulichung der darauf aufbauenden Ermittlung des wirtschaftlichen Grundwerts. Die Bandbreite reicht von einem Durchschnittswert von 350.000 Euro (niedrigstes Niveau der Klasse A.I.) bis hin zu 2 oder 4 Prozent des tatsächlichen Jahresumsatzes von Großunternehmen mit einem Umsatz von mehr als 500 Millionen Euro.

3. Wirtschaftlichen Grundwert berechnen

Für die Festsetzung des wirtschaftlichen Grundwertes wird schließlich der mittlere Jahresumsatz der Untergruppe durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet. Hier reicht die Bandbreite von 972 Euro für ein Kleinstunternehmen bis hin zu Werten von über 1,25 Millionen Euro. Übersteigt der Jahresumsatz 500 Millionen Euro, wird als Höchstgrenze eine Geldbuße von 2 oder 4 Prozent des Jahresumsatzes angesetzt.

4. Multiplikation nach Schweregrad der Tat

Jetzt kommt der eigentliche Verstoß ins Spiel: Er wird anhand der konkreten tatbezogenen Umstände des Einzelfalls (vgl. Art. 83 Abs. 2 Satz 2 DS-GVO) in die Schweregrade leicht, mittel, schwer oder sehr schwer eingeordnet.

Bei formellen Verstößen nach Art. 83 Abs. 4 (fehlende Vereinbarung über eine Auftragsverarbeitung etc.) kann sich ein Multiplikationsfaktor zwischen eins und sechs ergeben. Bei einem wesentlichen Verstoß nach Art. 83 Abs. 5 und 6 (unzureichende Umsetzung von Betroffenenrechten etc.) kann sich der Faktor bis auf den Wert 12 erhöhen. Bei einem sehr schweren Verstoß kann er noch höher sein (bis zu 4 Prozent des Jahresumsatzes).

5. Anpassung an individuelle Umstände

Der im vierten Schritt errechnete Betrag wird dann anhand aller für und gegen den Betroffenen sprechenden Umstände im Einzelfall angepasst. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DS-GVO) sowie sonstige Umstände, wie z. B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.

Experten sagen: Sanktionen sind höher als gedacht!

Betrachtet man das neue Konzept im Detail, wird deutlich, dass für kleine und mittlere Unternehmen bei auch „nur“ mittelschweren Verstößen beachtliche Bußgelder drohen. Diese können durchaus im hohen fünf- bis sechsstelligen Bereich liegen. So hat das Risiko, bei einer „versehentlichen“ Datenschutzverletzung von den Aufsichtsbehörden mit einem empfindlichen Bußgeld belegt zu werden, zwangsläufig zugenommen.

Zu betonen ist allerdings auch, dass Gerichte nicht an das neue Konzept gebunden sind – es handelt sich um eine Grundlage zur Bußgeldberechnung für die Datenschutzbehörden. Nach eigener Aussage des DSK wird es solange angewendet, bis der Europäische Datenschutzausschuss eine endgültige Richtlinie veröffentlicht.

Bußgeld-Höhe per Simulator berechnen

Per Simulator – Achtung: keine verbindliche Berechnung eines eventuellen Bußgeldes! –
kann übrigens jeder schnell selbst einschätzen, wie die verschiedenen Faktoren ein Bußgeld beeinflussen, oder wie hoch dieses ggfs. werden kann.

* Gegen das Bußgeld im Berliner Fall hat die Deutsche Wohnen übrigens Einspruch eingelegt. Es ist noch nichts rechtskräftig, sondern wird erst noch vor Gericht verhandelt. Die finale Klärung des Falls kann also noch eine Weile dauern …

Aktuelle Updates finden Sie auf unserer WISSENSPLATTFORM

Unser Themen-Special DSGVO-KONFORMES MARKETING ist Anlaufstelle und Ressource für die Datenschutz-Belange der Marketing-Branche. In unseren regelmäßig erscheinenden Ratgebern und Summaries (bisher erhältlich sind DSGVO-Konformität und DSGVO aktuell) erfahren Sie die wichtigsten Grundlagen und Entwicklungen für die praktische Anwendung. Zudem halten wir Sie mit unseren Blog-Beiträgen über die weitere Entwicklung auf dem Laufenden. Abonnieren Sie dazu unseren Business-Newsfeed und empfehlen Sie diesen doch auch im Kollegenkreis weiter.

Themen: Kundendaten, Marketing & Vertrieb, Business Marketing, datenbasiertes Marketing, Data Service-Anbieter, Datenanalyse, datengetriebenes Marketing, Datenqualität optimieren, Stammdaten, Kundendialog, EU-DSGVO, DSGVO, Cookies, Datenschutz-Grundverordnung, Datenschutz, Lead Management, Datenintelligenz, Kundendaten-Management, Stammdaten-Management, Digitalisierung, CRM-Systeme, Customer Relationship Management, Stammdaten-Pflege, GDPR, Data Mining, Data Analytics, Datenmanagement, Datenspeicherung, Kundendaten-Identitätszuordnung

Neuer Call-to-Action

Aktuelle Beiträge

Welche Themen Unternehmen jetzt besetzen und publizieren müssen

read more

Wie Sie mit Lead Management den Umsatzhebel ansetzen

read more

[Video, MP3] Warum Marketing-Abteilungen wie Publisher handeln müssen

read more