Bußgeldzumessung

Das müssen Unternehmen bei DSGVO-Verstößen wirklich zahlen

von - 28.10.2019
DSGVO
Foto: photoschmidt / shutterstock.com
Dass es bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) zu Bußgeldzahlungen kommen kann, ist jedem Unternehmen klar. In welchem Bereich eine solche individuelle Geldbuße liegt, wusste aber bislang niemand so genau. Das hat sich jetzt geändert.
Im Mai 2018 trat die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Vielen Unternehmen hat sie außer Unsicherheiten nicht viel gebracht. Die Angst vor Bußgeldzahlungen in immenser Höhe - ein Betrag in Höhe von vier Prozent des weltweiten Jahresumsatzes - schwebt wie ein Damoklesschwert über den Firmen.
Am 14. Oktober aber wurden zumindest einige Fragezeichen beseitigt: Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich auf ein einheitliches Verfahren zur zukünftigen Bußgeldzumessung gegenüber Unternehmen verständigt. Dabei wurde ein neues Konzept erarbeitet, das genau aufschlüsselt, wie teuer ein Verstoß wird. Ziel ist es, eine transparente und einzelfallgerechte Form der Bußgeldzumessung zu garantieren.

Bußgeldzumessung in drei Schritten

1. Wirtschaftlicher Grundwert
Auf Basis des weltweit erzielten Vorjahresumsatzes des Unternehmens wird anhand einer Tabelle ein sogenannter wirtschaftlicher Grundwert ermittelt. Er bildet die Grundlage für die weitere Bemessung.
Es gibt dabei verschiedene Größenklassen, angefangen vom Kleinstunternehmen über kleine und mittlere Firmen bis hin zu großen Unternehmen (Klassen A, B, C und D). In jeder Kategorie gibt es noch drei bis sieben Untergruppen. Die kleinste Kategorie ist A.I und beinhaltet Firmen mit einem Jahresumsatz von bis zu 700.000 Euro. Die größte Klasse ist D.VII mit einem Jahresumsatz von über 500 Millionen Euro.
2. Multiplikationsfaktor
Hier kommt nun die eigentliche Tat ins Spiel. An den ermittelten wirtschaftlichen Grundwert wird ein Multiplikationsfaktor angelegt. Er bemisst sich an der Art, Schwere und Dauer des Verstoßes und kann bei formellen Verstößen (fehlende Vereinbarung über eine Auftragsverarbeitung etc.) einen Wert zwischen eins und sechs haben.
Bei einem materiellen Verstoß (unzureichende Umsetzung von Betroffenenrechten etc.) kann sich der Faktor bis auf den Wert 12 erhöhen - bei einem sehr schweren Verstoß sogar bis zu einem Wert von 14,4 (vier Prozent des Jahresumsatzes).
3. Individuelle Anpassung
Der so berechnete Betrag wird dann unter Berücksichtigung aller sonstigen Umstände, die für und gegen das betroffene Unternehmen sprechen, für den Einzelfall angepasst. Diese Umstände können täterbezogene Kriterien sein, aber auch eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.

Folgen

Experten rechnen damit, dass auf Basis dieses Modells in Zukunft mit weitaus höheren Sanktionen zu rechnen sein wird als es bislang der Fall war. Auch bei kleinen und mittleren Unternehmen können bei "nur" mittelschweren Verstößen Bußgelder in hohen fünf- bis sechsstelligen Beträgen anfallen.
Die Datenschutzkanzlei Herting Oberbeck skizziert zwei Beispielsfälle:
"Ein Unternehmen hat einen Jahresumsatz von 800.000 Euro (Grundwert: 2.917 Euro). Das Unternehmen beschäftigt verschiedene Auftragsverarbeiter, ohne mit diesen die erforderlichen Verträge abgeschlossen zu haben. Dies könnte als Verstoß gegen formelle Vorgaben mit einem Faktor von vier bewertet werden. Damit würde sich vor einer gegebenenfalls vorzunehmenden Anpassung im Einzelfall ein Bußgeld in Höhe von 11.668 Euro ergeben."
 
"Ein Unternehmen mit einem Jahresumsatz von 28.000.000 Euro (Grundwert: 76.389 Euro) erhebt Daten auf Grundlage einer unwirksamen Einwilligung. Da dies einen Verstoß gegen materielle Vorgaben darstellt, könnte hier ein Faktor von sechs angelegt werden. Ausgangsbetrag des zu verhängenden Bußgeldes wären damit bereits 458.334 Euro."

Gültigkeit

Das Modell gilt nur für Unternehmen in Deutschland und nicht für einen gemeinnützigen Verein. Gerichte sind nicht an diese Berechnung gebunden, es handelt sich bislang nur um die Grundlage für die Berechnung von Bußgeldern durch die Datenschutzbehörden. Sie soll gelten, bis der Europäische Datenschutzausschuss endgültige Leitlinien erlassen hat.
Verwandte Themen