03843-22 91 33  Goldberger Str. 81a, 18273 Güstrow
Sie sind hier: Datenschutz Nordost » Blog

Einordnung der Bußgeldhöhe bei Datenschutz-Pannen

Modell zur Berechnung von DSGVO-Bußgeld

Axel Lehmann Mittwoch, 5. Februar 2020 von Axel Lehmann

Die Berechnungsmethode zu Bußgeldern nach der DSGVO

Schätzen Sie Ihr Risiko ein

Für Unternehmen und Konzerne können bis zu vier Prozent ihrer Vorjahresumsätze auf dem Spiel stehen. Dazu kommen die Rechtsanwaltskosten, die sich auf den Streitwert beziehen. Bis zu 20 Mio. Euro kann es kosten. Kleine formelle Verstöße beginnen bei 972 Euro. Doch wo liegen die Grenzen dieser Bemessungsgrundlagen und wie werden sie ermittelt? Dazu hat die Datenschutzkonferenz – DSK – Stellung genommen.

Fünf-Schritte-Verfahren der Datenschutzkonferenz

Nach langem und zähem Ringen hat die Europäische Gemeinschaft die Datenschutzgrundverordnung verabschiedet. Sie wurde jeweils in nationales Recht überführt und trat 2018 in Kraft. Sie soll die Grundrechte der Menschen schützen und wurde daher mit zahlreichen Vorgaben verbundenen. Doch kein Gesetz lässt sich ohne wirkungsvolle Strafen effektiv umsetzen. Diese Bußgelder können dabei existenzbedrohende Größenordnungen erreichen. Selbst eine Smart-Cam in einem Dienstwagen, die einen potenziellen Autodieb aufzeichnet und speichern kann, führt zu einem vier- bis fünfstelligen Betrag, wenn der Eigentümer diese beispielsweise nicht durch ein Schild am Fahrzeug kenntlich macht.

Für Unternehmen und Konzerne können bis zu vier Prozent ihrer Vorjahresumsätze auf dem Spiel stehen. Dazu kommen die Rechtsanwaltskosten, die sich auf den Streitwert beziehen. Bis zu 20 Mio. Euro kann es kosten. Kleine formelle Verstöße beginnen bei 972 Euro. Doch wo liegen die Grenzen dieser Bemessungsgrundlagen und wie werden sie ermittelt? Dazu hat die Datenschutzkonferenz – DSK – am 14.10.2019 Stellung genommen. Sie setzt sich aus den unabhängigen Datenschutzbehörden der Länder und des Bundes zusammen. Das Konzept, das sie nun der Öffentlichkeit vorstellt, ist jedoch nicht in Stein gemeiselt. Es kann jederzeit – auch für die Zukunft – geändert, erweitert oder reduziert werden. Es betrifft in erster Linie Verstöße, die von den Unternehmen zu verantworten sind. Privatpersonen und Vereine sind nur betroffen, wenn sie eine wirtschaftliche Ausrichtung haben.

Und weshalb gelten die folgenden Regeln nur für Unternehmen, die gleichzeitig die Träger der regionalen, nationalen und internationalen Wirtschaft und Gesellschaft sind? Hier vertritt die Datenschutzbehörde eine harte Position. Danach eignen sich die hohen Bußgeldbeträge zur wirksamen und verhältnismäßigen Abschreckung jedweder Datenschutzverletzung. Das von ihr vorgestellte Fünf-Schritte-Verfahren soll ferner einzelfallbezogen, transparent und nachvollziehbar sein.

Bildung von Kategorien nach Unternehmensgrößen

Es beginnt bei der Unternehmensgröße. Dabei orientiert sich die Datenschutzkonferenz an dem jeweils weltweit erzielten Umsatz des Vorjahres. Um die Unternehmen und Konzerne in ein Raster einordnen zu können, werden verschiedene Größenklassen eingeführt. Die Grundlage bildet der Art. 83 Abs 4 bis 6 der DSGVO, der zwischen Kleinstunternehmen, kleinen und mittleren Unternehmen sowie Großunternehmen unterscheidet. Diese werden auch als KMU umschrieben. Ob ein Unternehmen als KMU eingruppiert werden kann, richtet sich nach den Vorjahresumsätzen.

Kleinstunternehmen fallen unter die Kategorie A und enden bei 2 Millionen Jahresumsatz. B umfasst Kleinunternehmen bis 10 Euro Millionen. Unter C versteht das Konzept mittlere Unternehmen, deren Umsatz die 50 Millionen Umsatzgrenze erreicht. In D befinden sich die Großunternehmen und Konzerne. Die dazugehörigen jeweiligen Unterkategorien für A und B sind in I bis III gestaffelt. Bei C gibt es wie bei D noch die IV bis VII.

Großunternehmen werden unter D geführt. Die Unterteilung erfolgt unter der Prämisse des Jahresumsatzes in den Unterkategorien I bis VII. Umsätze von über 50 bis 75 Millionen Euro fallen unter I.

Dann folgt II mit über 75 bis 100 Millionen Euro. In den nächsten Schritten geht es jeweils um Stufen von je 100 Millionen Euro. In VII werden dann Unternehmen eingeordnet, die mehr als 500 Euro Umsatz erwirtschaften.

Ermittlung des mittleren Jahresumsatzes innerhalb der Untergruppe

Im zweiten Schritt wird der mittlere Jahresumsatz der jeweiligen Untergruppe ermittelt. Dieser ergibt sich aus den Kategorien, die im ersten gebildet worden sind. Diese Stufe ist erforderlich, um den wirtschaftlichen Grundwert des betreffenden Umsatzes abzubilden.

Kleinstunternehmen der Kategorie A 1 erzielen jährliche Umsätze von 1 bis zu 700.000 Euro. Als Bemessungsgrundlage für den 4. Schritt werden 50 Prozent davon angesetzt. Das sind 350.000 Euro. Dieser Wert gilt auch dann, wenn das Unternehmen nur den Umsatz von 70.000 Euro erreichte.

In der Kategorie A III sind es statt der 350.000 Euro sogar 1,7 Mio. Euro. Kleine Unternehmen müssen sich ab B I auf 3,5 Mio. Euro einstellen. Bis zu B III sind es sogar 8,75 Mio. Euro. Handelt es sich um ein mittleres Unternehmen, reicht die Spanne von C 1 mit 11,25 Mio. bis zu C VII, die 45 Mio. Euro zugrunde legt.

Erreicht das Großunternehmen die Umsatzgrenze der Kategorie D VII, dann wird das Strafgeld ab 500 Mio. Umsatz mit dem Prozentsatz von 2% oder 4% berechnet. In diesem Fall wird der konkret erzielte Umsatz laut Jahresabschluss angenommen.

Ermittlung des wirtschaftlichen Grundwertes des Unternehmens

Sind die Umsatzgrenzen festgelegt worden, dann erfolgt die Ermittlung des wirtschaftlichen Grundwertes. Auf dessen Basis werden die fälligen Bußgelder festgelegt.

Dazu folgt ein interessantes und praxisrelevantes Beispiel:

Das Kleinstunternehmen Armin Wagendorf wird wegen eines Verstoßes zu einer Strafe verurteilt. Sein Jahresumsatz beträgt 60.000 Euro. Armin Wagendorf gehört in die kleinste Kategorie A sowie die Unterkategorie I. Damit liegt sein Jahresumsatz zwischen 1 und 700.000 Euro im Jahr. Jetzt werden 700.000 Euro – nicht die tatsächlichen 60.000 Euro! - durch 2 dividiert. Man erhält 350.000 Euro. Im nächsten Schritt verteilt das Gericht diesen Betrag auf 360 Tage. Die sich ergebene Strafe in Höhe von 972 Euro muss Armin Wagendorf bezahlen. Sie wird jedoch in Schritt 4 noch mit dem einzelfallbezogenen Faktor multipliziert.

Die Berücksichtigung des Einzelfalls sowie die Schwere der Tat

Ein besonderes Merkmal ist die Schwere der Tat. Sie für die Beurteilung des Einzelfalls besonders wichtig. Um welche Art des Verstoßes geht es? Wie schwer wiegt der Verstoß und auf welche Dauer müssen das Gesetz und die DSGVO angewendet werden? Nicht jeder Vorgang wird sofort entdeckt und angezeigt. Werden beispielsweise die Vorschriften über einen Zeitraum von sechs Monaten nicht eingehalten, dann muss dieser Abschnitt für die Bestrafung berücksichtigt werden – und nicht nur das Datum, an dem die strafbare Handlung beendet wurde.

Problematisch sind sensible Daten, die sich auf die Gesundheit der Mitarbeiter beziehen. Die Datenschutzbehörde kennt hier die vier Gruppen Leicht, Mittel, Schwer und Sehr schwer. Welche Einstufung letztlich im Verfahren eine Rolle spielt, entscheidet die zuständige Behörde. Jeder der vier Gruppen ordnet man jeweils einige Faktoren zu. Der maßgebliche Faktor wird wiederum mit dem ermittelten Tagessatz multipliziert. Dazu kommen materielle oder formelle Verstöße, die Einfluss auf die jeweilige Gewichtung haben.

Zu den materiellen Verstößen zählt beispielsweise die unrechtmäßige Datenverarbeitung. Hier fehlen in einigen Fällen die Einwilligungen der Betroffenen. Das Gleiche gilt, wenn die Daten an Drittländer ohne Rücksprache mit den Betroffenen weitergereicht werden. Auch die Nichtbefolgung von amtlichen Anweisungen fällt darunter.

Hat der Verantwortliche keine ausreichenden technischen Maßnahmen getroffen, um die Rechte der Betroffenen im Rahmen des Datenschutzes zu schützen, liegen formelle Verstöße vor.

Doch wie wird die Schwere der jeweiligen Tat konkret gewichtet?

Formelle Verstöße nach Art. 83 Abs. 4:

a.) Leicht Faktor 1 bis 2

b.) Mittel Faktor 2 bis 4

c. ) Schwer Faktor 4 bis 6

d.) Sehr schwer Faktor größer als 6

Materielle Verstöße nach Art. 83 Abs. 5 und 6:

a.) Leicht Faktor 1 bis 4

b.) Mittel Faktor 4 bis 8

c. ) Schwer Faktor 8 bis 12

d. ) Sehr schwer Faktor größer als 12

Anpassung an den individuellen Einzelfall

Im letzten und fünften Schritt wird der Täter in die Betrachtung eingebunden. Ist der Verstoß vorsätzlich oder fahrlässig erfolgt? Hat der Verantwortliche zielgerichtete Maßnahmen angeordnet oder durchgeführt, um den Schaden für den Betroffenen so klein wie möglich zu halten. Droht dem Täter als Folge des Verstoßes die Insolvenz, so kann diese Tatsache mildernd berücksichtigt werden. Umso besser der Täter mit den Behörden zusammenarbeitet, desto günstiger kann sich sein Verhalten auf das Strafmaß auswirken.

Beispiel für einen Kleinstunternehmer

Klaus und Martina Bergdorf führen einen Online-Shop, der als KMU eingestuft wird. Im letzten Jahr erzielten sie einen Umsatz von 100.000 Euro. Da sie der Kategorie A I angehören und ihr Umsatz im Intervall von 1 bis 700.000 Euro liegt, wird die Hälfte des Grundbetrags in Höhe von 350.000 Euro angesetzt. Diese Bemessungsgrundlage teilt der Datenschutz durch 360 Tage. Das Ergebnis von 972 Euro wird mit dem Gewichtungsfaktor multipliziert.

Um die Daten ihrer Kunden für weitere Marketing-Maßnahmen nutzen zu können, benötigen die Bergdorfs die jeweiligen Einwilligungen. Leider haben einige diese aber nicht erteilt. Trotzdem nutzen die Bergdorfs auch deren sensible Informationen. Als ein ehemaliger Kunde den Vorgang anzeigt, kommt es zum Verfahren. Während der Strafbemessung wird die Tat des Paares als leichter materieller Verstoß gewertet. Mildernde Umstände gibt es nicht. Die Behörde legt deshalb den Faktor 4 fest.

Das endgültige Strafgeld beträgt 972 Euro x Faktor 4 = 3.888 Euro.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf „Erlauben“ erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.