Was wäre wenn? Diese Frage haben sich sicherlich schon einige Unternehmer gestellt, wenn es um die Beurteilung der zu erwartenden Geldbuße im Falle eines Verstoßes gegen die Datenschutzgrundverordnung geht. Das neue Konzept zur Bußgeldzumessung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hilft nun ein wenig weiter
„Mit dem Konzept zur Bußgeldzumessung beabsichtigt die DSK den Aufsichtsbehörden eine einheitliche Methode an die Hand zu geben, um eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zu gewährleisten.“ – Markus Spöhr
Regelmäßige Geldbußen in Europa
Ein Blick auf den Live-Ticker für Geldbußen zeigt: Fast täglich werden von den Aufsichtsbehörden in Europa Geldbußen aufgrund von Datenschutzverstößen gegen Unternehmen erlassen. Aber nicht nur Unternehmen, auch Privatpersonen können Empfänger von Geldbußen sein, wie zuletzt ein spanischer Arbeitnehmer, der seine Arbeitskollegin ohne deren Einverständnis unter Angabe Ihrer persönlichen Daten, wie Kontaktdaten, Foto und Informationen über Ihre sexuelle Orientierung auf einem Erotikportal angemeldet hatte. Dies nahm die Aufsichtsbehörde zum Anlass eine Geldbuße in Höhe von 800 EUR gegen den Arbeitnehmer zu verhängen.
Einheitliche Bemessung
Die Spanne der unterschiedlichen Beträge an Bußgeldern kann kaum größer sein. Die Spanne reicht bisher von 90 EUR bis 204.600.000 EUR. Mit dem Konzept zur Bußgeldzumessung beabsichtigt die DSK den Aufsichtsbehörden eine einheitliche Methode an die Hand zu geben, um eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zu gewährleisten. Das Konzept beruht auf Art. 70 Abs. 1 lit. k DSGVO zur Förderung einer Leitlinie und berücksichtigt im Wesentlichen die Vorgaben des Art. 83 DSGVO. Bis der Europäische Datenschutzausschuss eine abschließende einheitliche Leitlinie erlassen hat, wird das Konzept der DSK zumindest für die deutschen Aufsichtsbehörden die Grundlage für die Bemessung der Geldbußen sein.
Schaffung von Transparenz
Das Konzept schafft einen wesentlichen Beitrag zur Transparenz. Unternehmen können damit nun zumindest grob abschätzen, was Sie im Falle eines Datenschutzverstoßes erwarten würde. Sofern es tatsächlich zu einer Geldbuße gekommen ist, kann das Konzept von den Verantwortlichen herangezogen werden um die Entscheidung der Aufsichtsbehörden nachzuvollziehen.
Das Bußgeldkonzept
Das Verfahren zur Bußgeldbemessung erfolgt in 5 Schritten. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).
1. Kategorisierung nach Größenklassen
Anhand des gesamten weltweit erzielten Vorjahresumsatzes wird das Unternehmen in Größenklassen unterteilt. Die Größenklassen unterscheiden dabei in Kleinstunternehmen (Jahresumsatz bis 2 Mio. EUR), kleine Unternehmen (Jahresumsatz über 2 Mio. EUR bis 10 Mio. EUR), mittlere Unternehmen (Jahresumsatz über 10 Mio. EUR bis 50 Mio. EUR) und Großunternehmen (Jahresumsatz über 50 Mio. EUR).
Diese Größenklassen werden sodann in 20 weitere Unterklassen kategorisiert (s. Tabelle 1 des Konzepts der DSK).
2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe
Je nach Kategorie der Untergruppen des Unternehmens, wird im nächsten Schritt der mittlere Jahresumsatz bestimmt (Tabelle 2 des Konzepts der DSK).
Beispiel:
Im Rahmen von Ermittlungen seitens der Aufsichtsbehörde, stellte sich heraus das ein Unternehmen nach einer meldepflichtigen Datenpanne es unterlassen hatte, diese nach Art. 33 Abs. 1 DSGVO der Aufsichtsbehörde zu melden. Das Unternehmen hatte einen Vorjahresumsatz von 42,25 Mio. EUR und wäre nach Tabelle 1 der Unterkategorie C. VII mit einer Jahresumsatzspanne zwischen 40 Mio. EUR und 50 Mio. EUR zuzuordnen. Der mittlere Jahresumsatz dieser Jahresumsatzspanne (40 – 50 Mio. EUR) wäre nun 45 Mio. EUR. Dies entspricht auch dem Wert aus Tabelle 2 des Konzepts der DSK (C. VII = 45 Mio. EUR).
3. Ermittlung des wirtschaftlichen Grundwertes
Der wirtschaftliche Grundwert entspricht der Ermittlung des durchschnittlichen Tagessatzes des Unternehmens, d.h. der mittlere Jahresumsatz wird durch 360 (Tage) geteilt. In unserem Beispiel wären das 45 Mio. EUR / 360 Tage = 125.000 EUR. (s. hierzu Tabelle 3 des Konzepts der DSK; C. VII = 125.000 EUR).
4. Multiplikation des Grundwertes mit Schweregrad der Tat
Der Grundwert wird sodann mit dem Schweregrad des Datenschutzverstoßes multipliziert. Die Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer ist einzelfallbezogen und wird anhand der konkreten tatbezogenen Umstände ermittelt. Im Hinblick auf die unterschiedlichen Bußgeldrahmen kann ein materieller Verstoß (Art. 83 Abs.5, 6 DSGVO) mit einem höheren Faktor gewichtet werden als ein formeller Verstoß (Art. 83 Abs. 4 DSGVO). Der Tabelle 4 des Konzepts der DSK entsprechend können Datenschutzverstöße wie folgt gewichtet werden:
Schweregrad leicht: Faktor 1 bis 2 für formellen und 1 bis 4 für materiellen Verstoß
Schweregrad mittel: Faktor 2 bis 4 für formellen und 4 bis 8 für materiellen Verstoß
Schweregrad schwer: Faktor 4 bis 6 für formellen und 8 bis 12 für materiellen Verstoß
Schweregrad sehr schwer: Faktor 6< für formellen und 12< für materiellen Verstoß.
In unserem Beispiel würde ein mittlerer formeller Verstoß (Faktor 2) zu einem Bußgeldgrundwert von 250.000 EUR (2 x 125.000 EUR) führen.
5. Anpassung des Bußgeldes
Zuletzt kann der Grundwert unter Berücksichtigung aller für und gegen den Betroffenen sprechenden Umstände (Art. 83 Abs. 2 DSGVO) angepasst werden. Hierbei können insbesondere Punkte wie Verschuldensgrad oder Kooperationsgemeinschaft sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens eine wichtige Rolle spielen.
Da das Unternehmen in unserem Beispiel vorbildlich kooperierte, die Datenschutzverletzung umgehend beseitigte und weitere Datenschutzmanagementprozesse in die Unternehmensstruktur integrierte, reduzierte die Aufsichtsbehörde das Bußgeld auf 150.000 EUR.
Fazit
Während die Schritte 1 bis 3 an eine Wenn/Dann Funktion erinnern, ermöglichen die Schritte 4 und 5 den Aufsichtsbehörden einen Ermessensspielraum. Insgesamt ist der Versuch der DSK, die Bußgeldzumessung auf nationaler Ebene zu harmonisieren und somit einen Beitrag für eine transparente und einheitliche Handhabung von Bußgeldern zu schaffen, zu begrüßen
Online-Rechner
Wem das Berechnungsverfahren zu kompliziert ist, dem empfehlen wir folgenden Online-Rechner. Ein wirklich hilfreiches Tool, das zumindest eine erste grobe Einschätzung erlaubt. Unternehmen können individuell das Sie zu erwartende Bußgeld auf die Schnelle berechnen. Neugierige Unternehmer können das Tool natürlich auch nutzen um die unterschiedlichen Szenarien durchzuspielen.
Artikel zum selben Thema:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]