Ende letzten Jahres war es soweit: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat ein Konzept zur Bußgeldzumessung im Verfahren gegen Unternehmen festgelegt. Mit diesem Konzept soll jeder einschätzen können, wie hoch das Bußgeld ausfallen wird, sollte er gegen das Datenschutzgesetz verstoßen.

Die Grundlage des aktuellen Konzepts

Verstöße gegen die DSGVO können mit bis zu 10 Millionen Euro bzw. zwei Prozent des Jahresumsatzes bestraft werden. Bei einem besonders schweren Verstoß könnte die Strafe auf das Doppelte ansteigen. Wie hoch ein Bußgeld bei Verstößen genau angesetzt wird, geht aus der DSGVO allein nicht hervor.
Die DSK hat nun eine einheitliche und durchschaubare Berechnungsgrundlage herausgebracht. Daraus geht hervor, dass bei einem Verstoß gegen die DSGVO, hohe Bußgelder zu erwarten sind. Dabei handelt es sich lediglich um ein Modell und kein Gesetz. Dennoch müssen sich Gerichte daranhalten.

Das 5-Stufen-Verfahren zur Berechnung des Bußgeldes

    1. Anhand des weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahres unterteilt man Unternehmen in vier Klassen. Innerhalb dieser vier Klassen unterteilt man dann weiter in drei Untergruppen (A.I, A.II, A.III …bis D.III).
    2. In der Ihnen zugeordneten Gruppe wird nun der mittlere Jahresumsatz bestimmt.
    3. Nun errechnet man den wirtschaftlichen Grundwert. Hierfür teilt man den mittleren Jahresumsatz durch 360 Tage.
    4. Die Schwere des Verstoßes misst man in vier Kategorien: leicht, mittel, schwer und sehr schwer. Je nach Schwere kommt ein Multiplikator ins Spiel, der den Einzelfall untersucht. Hier kommt der Artikel 83 Abs. 2 der DSGVO ins Spiel. Man unterteilt nach Art und Dauer der Verfehlung, der Zahl der betroffenen Personen und dem tatsächlichen Ausmaß des Schadens. Wichtig ist auch, ob der Verstoß absichtlich inszeniert wurde. Des Weiteren relevant ist, wie mit der Aufsichtsbehörde zusammengearbeitet wurde. Hat der Schuldige versucht Schadensbegrenzung betrieben? War es sein erster Verstoß gegen die DSGVO? Hat das Unternehmen finanzielle Vorteile erlangt und wollte diese sogar verschleiern? All das sind relevante Fragen im Prozess.
    5. In diesem Schritt werden alle Umstände zusammen betrachtet. Hier stellt man sich folgende Fragen: Gibt es mildernde Umstände? Gibt es täterbezogene oder sonstige Umstände, die zu berücksichtigen sind? Führt das entstandene Bußgeld zur drohenden Zahlungsunfähigkeit des Unternehmens?

DSGVO-Rechenbeispiel

Was sich in der Theorie kompliziert anhört, ist es in Wahrheit gar nicht. Zur Veranschaulichung, hier ein kleines Rechenbeispiel: Ihr Unternehmen hat einen Vorjahresumsatz von 120.000 Euro. Damit fällt Ihr Unternehmen in die Untergruppe A.I. Diese Gruppe umfasst alle Unternehmen mit einem Vorjahresumsatz zwischen 0 und 700.000 Euro. Der mittlere Jahresumsatz in dieser Gruppe beträgt also 350.000 Euro. Der wirtschaftliche Grundwert liegt damit bei 973,00 Euro.
Wie bereits oben erwähnt, multipliziert man nun je nach Schwere des Verstoßes mit einem bestimmten Faktor. Mal angenommen, Sie haben Ihr Impressum auf Ihrer Webseite falsch ausgewiesen. Das würde man als leichten Verstoß ansehen, was im Höchstfall den Faktor „2“ bedeuten würde. Wir gehen davon aus, dass es keine besonderen Umstände gibt, die berücksichtigt werden müssen.
Das Bußgeld würde sich hier auf 1.944,00 Euro belaufen.

Handlungstipp

Fällt Ihnen oder jemand anderem ein Verstoß auf Ihrer Seite auf, ist unverzügliches Handeln gewünscht. Verschleiern Sie nichts und Arbeiten Sie den Behörden bereitwillig zu. Bereits kleine Verstöße können zu einem Bußgeld führen, darauf weist die DSK explizit hin. Es ist also ratsam, dass Sie Ihren Werbeauftritt prüfen oder prüfen lassen. Besser Sie stoßen selbst auf Verstöße und können diese beheben, als wenn ein unzufriedener Kunde oder die missgünstige Konkurrenz auf etwas aufmerksam wird. Meldet Sie jemand anderes, wird die Behörde direkt aktiv.

Beitrag von Marieke Weisser