Welche Bußgelder kommen bei Datenschutzverstößen auf Sie zu?

Übergangslösung bis zum Erlass der Leitlinien des Europäischen Datenschutzausschusses

Im Oktober letzten Jahres wurde man konkret: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen festgelegt.

Jetzt kann jeder einschätzen, welche Bußgelder auf ihn zukommen, wenn er im Ernstfall gegen das Datenschutzgesetz verstößt.

Die Grundlagen des aktuellen Konzepts

Bekannt ist, dass Verstöße gegenüber der DSGVO mit bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes bestraft werden können, was bei einer besonderen Schwere des Verstoßes auch auf das Doppelte anwachsen könnte. Doch wie hoch ein Bußgeld nun konkret bei Verstößen angesetzt wird, war allein durch die Datenschutz-Grundverordnung nicht nachvollziehbar.
Hier hat die DSK nun eine einheitliche und durchschaubare Berechnungsgrundlage für deutsche Unternehmen geschaffen, die auch eine präventive Rolle übernehmen soll. Konkret kann man sich nun auf hohe Bußgelder einstellen, wenn man die DSGVO ignoriert. Allerdings handelt es sich um ein Modell und kein Gesetz, an das sich Gerichte halten müssen.

Warten wir ab, wie sich die Lage bis zum Erlass der endgültigen Leitlinien und tatsächlichen Bußgelder durch den Europäischen Datenschutzausschuss noch entwickelt.

Wenn Daten nicht geschützt werden, können etliche private Informationen an jeden gelangen, der genug dafür zahlt.

Birgit Sippel, innenpolitische Sprecherin der Sozialdemokraten im EU-Parlament

5-Stufen-Verfahren zur Berechnung des Bußgeldes

Schritt 1: Auf Basis des weltweiten Gesamtumsatzes des Vorjahres unterteilt man die Unternehmen in vier Klassen und hier wieder in drei Untergruppen (A.I, A.II, A.III …bis D.III).

Schritt 2: In der Gruppe, in der man Sie und Ihr Unternehmen eingeordnet hat, bestimmt nun den mittleren Jahresumsatz.

Schritt 3: Ermittlung des wirtschaftlichen Grundwerts. Dieser Wert entspricht dem mittleren Jahresumsatz durch 360 Tage dividiert.

Schritt 4: Je nach Schwere des Verstoßes gegen die DSGVO (Unterteilung in leicht, mittel, schwer oder sehr schwer) kommt nun ein Multiplikator ins Spiel, der den Einzelfall untersucht. Hierbei unterteilt man im Artikel 83 Abs. 2 der DSGVO nach Art und Dauer der Verfehlung, die Zahl der Personen, die betroffen sind und das tatsächliche Ausmaß des Schadens. War der Verstoß absichtlich inszeniert? Weiterhin ist auch relevant wie man mit der Aufsichtsbehörde zusammengearbeitet hat, ob man versucht hat, Schadensbegrenzung zu betreiben und ob man zum ersten Mal gegen die DSGVO verstößt. Auch relevant ist, ob das Unternehmen finanzielle Vorteile erlangt hat und die Tat vielleicht sogar verschleiern wollte.

Schritt 5: Hier kommen nun alle Umstände in die Waagschale. Gibt es mildernde Umstände, täterbezogene Umstände oder sonstige Umstände, wie beispielsweise eine durch das Bußgeld drohende Zahlungsunfähigkeit des Unternehmens?

DSGVO-Rechenbeispiel

So schwer ist das 5-Stufen-Verfahren gar nicht. Hier ein einfaches Rechenbeispiel: Gehen Sie von einem Vorjahresumsatz von 120.000 Euro aus. Sie und Ihr Unternehmen fallen somit die Untergruppe A.I, die einen Jahresumsatz von 0 bis 700.000 Euro bezeichnet. Der mittlere Jahresumsatz ist somit in dieser Gruppe auf 350.000 Euro ausgelegt. Somit ist der wirtschaftliche Grundwert bei 972,00 Euro.

Nun kommt es auf die Schwere des Verstoßes an. Sie haben vielleicht Ihre Datenschutzerklärung oder Ihr Impressum auf Ihrer Webseite fehlerhaft ausgewiesen. Man kann da von einem leichten Verstoß ausgehen, was Ihnen im Höchstfall die Stufe „2“ beschert. Besondere Umstände sind hier nicht zugrunde gelegt.

Also könnte hier das Bußgeld 1.944,00 Euro betragen.

Handlungs-Tipp:

Wenn Ihnen ein Verstoß auffällt oder Sie angemahnt werden, handeln Sie unverzüglich, verschleiern Sie bitte nichts und arbeiten Sie den Behörden bereitwillig zu! Die DSK möchte schon jetzt in den Köpfen verankern, dass auch kleine Datenverstöße auf ein Bußgeld hinauslaufen können. Also prüfen Sie Ihren Webauftritt, oder lassen Sie ihn prüfen, ob er die datenschutzrechtlichen Bestimmungen erfüllt. Denn wenn unzufriedene Kunden oder eine missgünstige Konkurrenz Ihnen schaden möchte und Sie meldet, wird die Behörde umgehend aktiv.