Bußgeldkatalog für Verstöße gegen die DSGVO

Bußgeldkatalog für Verstöße gegen die DSGVO


Knapp 1 ½ Jahre nach Einführung der Datenschutzgrundverordnung gibt es in Deutschland nun einen konkreten Bußgeldkatalog für Verstöße gegen die DSGVO. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat diesen am 14. Oktober veröffentlicht. Die Ermittlung der Strafen soll nun bundesweit einheitlich erfolgen. Was bedeutet das in der Praxis für Weinhändler? Wie hoch können Bußgelder für Verstöße gegen die DSGVO ausfallen?

Welche Strafen wurden bislang für Verstöße gegen die DSGVO fällig?

Während die britische Datenschutzbehörde ICO im Juli 2019 Rekord-Bußgelder erhob, fielen die Strafen hierzulande vergleichsweise moderat aus. In England traf es unter anderem die British Airlines, die aufgrund von „schwachen Sicherungsvorkehrungen“ ca. 1,5 % des Jahresumsatzes aus 2017 zahlen musste. Auch Mariott wurde mit einem Bußgeld in Höhe von etwa 3 % des Jahreumsatzes hart für eine Datenpanne bestraft. Strafen in Millionenhöhe gab es hierzulande bisher noch nicht.

Beispiele aus Deutschland

In der ersten Jahreshälfte erhoben die deutschen Behörden etwa 75 Bußgeldstrafen für Verstöße gegen die DSGVO. Allerdings lediglich in 6 Bundesländern – sowohl die Anzahl der geahndeten Fälle, als auch die Höher der Strafen sind dabei ungleich verteilt: Die größte Anzahl meldete NRW (36 Fälle; die Summe der Bußgelder betrug 15.600 EUR), wertmäßig lag Baden-Württemberg vorn (7 Fälle; 203.000 EUR). Laut Welt am Sonntag wurde dort auch die höchste Einzelstrafe (80.000 EUR) verhängt, weil Gesundheitsdaten im Internet gelandet sind. In Berlin wurden 18 Verstöße (gesamt: 105.600 EUR) bestraft, in Rheinland-Pfalz 9 (124.000 EUR), im Saarland 3 (590 EUR) und in Hamburg 2 (25.000 EUR).

Was hat sich durch den neuen Bußgeldkatalog für DSGVO-Verstöße geändert?

Artikel 83 der Datenschutzgrundverordnung (DSGVO) widmet sich dem Thema Bußgeld: Darin ist z. B. geregelt, dass Behörden bei Verstößen gegen die DSGVO bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes als Strafe verhängen können, bei schweren Vergehen sogar doppelt so viel (bis zu 20 Mio Euro – oder 4 % vom Jahresumsatz). Eine konkrete Grundlage, das Bußgeld im Einzelfall zu berechnen, fehlte jedoch. Bislang wurden die Strafen in den einzelnen Bundesländern in aufwändigen Verfahren verhandelt. Deshalb konnten sie – je nach Unternehmenssitz – ganz unterschiedlich ausfallen. Der neue Bußgeldkatalog für DSGVO-Verstöße soll den Aufsichtsbehörden eine einheitliche Methode vorgeben, um Geldbußen systematischer, transparenter und nachvollziehbarer zu bemessen.

Wie werden die Strafen jetzt ermittelt?

Die Bußgeldermittlung gegen Unternehmen soll in einem 5-stufigen Verfahren erfolgen:

  1. Zuordnung zu einer Größenklasse (A I – D IV), bemessen am Jahresumsatz
  2. Bestimmen des durchschnittlichen Jahresumsatzes von Unternehmen ebendieser Größenklasse
  3. Anhand des ermittelten Durchschnittswerts (2.) wird der sog. „wirtschaftliche Grundwert“ des Unternehmens bestimmt
  4. Dieser wirtschaftliche Grundwert wird – je nach Schwere des Verstoßes – mit einem Faktor multipliziert (1 – 4 für leichte, 6 – 12 oder höher für schwere Vergehen)
  5. Der ermittelte Wert wird „anhand aller sonstigen für und gegen das Unternehmen sprechenden Umstände“ angepasst

Durchschnittswert oder tatsächlicher Umsatz?

Die Strafen für kleine und mittelständische Unternehmen werden über die o. g. festgelegten Durchschnittswerte ermittelt. Erst ab einem jährlichen Umsatz von über 500 Mio. € erfolgt die Berechnung anhand des tatsächlich erzielten Umsatzes des Unternehmens.

Für die Bemessung der Schwere der Tat spielen unter anderem die Art und Dauer des Verstoßes, die Anzahl der Betroffenen und das Ausmaß ihres Schadens eine Rolle. Darüber hinaus ist relevant, ob das beschuldigte Unternehmen finanzielle Vorteile durch den Verstoß erlangt hat und wie sich die Zusammenarbeit mit der Aufsichtsbehörde gestaltet hat.

Welche Folgen hat der neue Bußgeldkatalog für Weinhändler?

Experten vermuten, dass durch das neue Bußgeldkonzept für Verstöße gegen die DSGVO erheblich höhere Strafen verhängt werden als bisher. Ein Rechenbeispiel:

  1. Eine Weinhandlung mit einem Vorjahresumsatz zwischen 700.000 und 1,4 Millionen Euro fällt in die Größenklasse A II.
  2. Für die Untergruppe A II liegt der durchschnittliche Jahresumsatz bei 1.050.000 Euro
  3. Der wirtschaftliche Grundwert für KMU der Klasse A II ist mit 2.917 EUR beziffert.
  4. Für einen mittelschweren rein formellen Verstoß gegen die DSGVO soll der Faktor 2 – 4 betragen; rechnen wir mit dem Mittelwert 3.
  5. Der berechnete Wert von 8.751 EUR (2.917 EUR x 3) kann anhand der sonstigen Umstände angepasst werden: Denkbar ist z. B. eine Minderung, wenn das Verfahren trotz Kooperationsbereitschaft des Beschuldigten lang andauert und so eine Belastung für das Unternehmen darstellt. Wenn die Umstände eher gegen den Beschuldigten sprechen, wird der Betrag womöglich erhöht. In unserem Beispiel ist ein Bußgeld zwischen 8.000 – 9.500 EUR realistisch.

Fazit zum neuen Bußgeldkonzept für Verstöße gegen die DSGVO

Auch wenn die Berechnung der Bußgelder klar geregelt ist: Die Bewertung der Schwere des jeweiligen Verstoßes und die Bewertung der „sonstigen Umstände“ liegt im Ermessen der zuständigen Behörde. Außerdem werden Branchen, die geringe Margen erzielen, klar benachteiligt: Die Bußgelder richten sich nach dem Umsatz. Der Rohertrag, den das Unternehmen erzielt, ist für die Berechnung irrelevant. Aus diesem Grund trifft es Unternehmen, deren prozentuale Erträge gering sind, besonders hart.

Experten kritisieren, dass das neue Bußgeldkonzept nicht per Gesetz geregelt ist. Gerichte müssen sich deshalb nicht an die in dem Modell beschriebenen Vorgaben halten. Wann sich an den neuen Spielregeln wieder etwas ändert, ist aber nur eine Frage der Zeit: Der europäische Datenschutzausschuss wird EU-Leitlinien für Verstöße gegen die DSGVO formulieren, die das nationale Recht überstimmen.

——————————————————————————————————————–

Quellenangaben & weiterführende Links:

https://www.datenschutzkonferenz-online.de/

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/

https://www.heise.de/newsticker/

Bildquelle: © Andriy Popov /  limbi007 – 123RF.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.