Aufsichtsbehörden einigen sich auf neues Modell zur Berechnung von Bußgeldern

Die Datenschutz-Aufsichtsbehörden der Länder und des Bundes haben sich im Rahmen der Datenschutzkonferenz (DSK) mehrheitlich auf ein neues Modell zur Berechnung von Bußgeldern bei Datenschutzverstößen verständigt. Daraus geht hervor, dass die Bußgeldrahmen sich aufgrund des Berechnungsmodells voraussichtlich erhöhen werden. Andererseits wird die Berechnungsmethode so nun transparenter und nachvollziehbarer, was bisher aufgrund von fehlenden Regelungen in der DS-GVO nicht gegeben war.

Mit diesem Beitrag möchten wir die neue Berechnungsgrundlage beleuchten.

Neue Bemessungsgrundlage

Als neue Bemessungsgrundlage für Bußgelder wird zunächst ein Tagessatz zugrunde gelegt, der auf dem weltweiten Unternehmensumsatz des Vorjahres basiert. Für Konzerne wird hierbei der Umsatz des gesamten Konzerns als Grundlage genommen. Für Unternehmen, die weniger als 500 Mio. Umsatz vorweisen, wird nicht der konkrete Umsatz zugrunde gelegt, sondern es erfolgt eine Zuordnung zu einer Größenklasse des Unternehmens (Bspw. Klasse A – Umsatz zwischen 70 und 100 Mio. Euro).

Gibt ein Unternehmen nach Aufforderung keinen Umsatz an, können die Behörden auch eine Schätzung als Grundlage nehmen.

Schließlich wird der Jahresumsatz durch 360 geteilt, um einen Tagessatz zu ermitteln.

Schweregrad des Verstoßes

Der so ermittelte Schweregrad wird dann entsprechend der Schwere des Verstoßes mit einem Faktor von 1 bis 14,4 multipliziert (1 = leichter Verstoß, 14,4 = sehr schwerer Verstoß).

Zur Orientierung für die Bemessung des Schweregrads dienen Faktoren wie die Dauer des Verstoßes, die Anzahl der Betroffenen, die Folgen des Schadens, ergriffene Gegenmaßnahmen gegen den Verstoß und die Zusammenarbeit mit der Behörde zur Aufklärung. Weiterhin wird aber auch die Verarbeitungstätigkeit an sich betrachtet, d. h. Art, Umfang und Zweck.

Grad des Verschuldens

Schließlich wird noch der Grad des Verschuldens für den Verstoß bewertet. Hierfür sind die Kategorien geringe/unbewusste Fahrlässigkeit (-25%), Inkaufnahme/Kenntnis des Verstoßes (+25%) und absichtlicher Verstoß (+50%) anzuwenden. Die Bußgelder werden entsprechend der Prozentzahlen, die ermittelt wurden, erhöht oder gesenkt. Bei wiederholten Verstößen kann sich der Wert sogar auf bis zu +300% (mehr als 3 Verstöße) erhöhen.

Abschließende Beurteilung des Bußgelds

In einem letzten Schritt überprüfen die Behörden, ob das errechnete Bußgeld angemessen ist. Dafür werden erschwerende oder mindernde Umstände erwogen, die Abschreckungswirkung sowie die öffentliche Wahrnehmung des Bußgelds. Zu niedrige Strafen für große Unternehmen wären der Öffentlichkeit nicht vermittelbar. Zudem darf das Bußgeld die in der DS-GVO festgelegten Höchstgrenzen von 2 oder 4 Prozent des Jahresumsatzes oder 10 bzw. 20 Mio. Euro nicht überschreiten.

Letztendlich geht es auch noch einmal darum, die Verhältnismäßigkeit und Angemessenheit der Schuld zu bewerten, um zu vermeiden, dass die Bußgelder aufgrund von Unverhältnismäßigkeit vor Gericht angefochten werden können.

Zusammenfassung

Es ist davon auszugehen, dass die Höhe von Bußgeldern unter Anwendung dieses Modells steigen und sich an die bereits genannten Höchstgrenzen annähern wird. Die Berliner Datenschutzbeauftragte hat im August bereits Bußgelder in zweistelliger Millionenhöhe angekündigt. Wenn Sie bereits nach diesem Modell gearbeitet hat, ist ein solches Ergebnis nicht verwunderlich.

Auffällig ist auch, dass sich die Aufsichtsbehörden bei diesem Berechnungsmodell an den Bußgeldleitlinien des Bundeskartellamts orientiert haben, was noch einmal mehr den Stellenwert des Datenschutzes unterstreicht.

In Zukunft wird zu beobachten bleiben, wie sich die Bußgelder unter Anwendung dieses Modells entwickeln. Wenngleich auch mehr Transparenz mit einer linearen Berechnungsmethode hergestellt wird, ist fraglich, ob Bußgelder in enormen Höhen vor Gerichten im Sinne der Verhältnismäßigkeit Bestand haben werden.

Nichtsdestotrotz bleibt es aufgrund dieser Neuigkeiten enorm wichtig, eine datenschutzkonforme Organisation zu gewährleisten, auch wenn bisher in Deutschland noch nicht der volle Bußgeldrahmen ausgeschöpft wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in