DSGVO-Bußgeldrechner – Bußgeldberechnung bei DSGVO-Verstößen

Die Datenschutzkonferenz hat ein Konzept zur Bemessung des DSGVO-Bußgelds im Verfahren gegen Unternehmen beschlossen, das den abstrakten Kriterienkatalog aus Art. 83 DSGVO konkretisiert. Ziel ist es dabei eine transparente und einzelfallgerechte Form der Bußgeldbemessung zu erhalten. Das Konzept soll als national geltende Leitlinie für die Bußgeldbemessung dienen, bis der Europäische Datenschutzausschuss unionsweite harmonisierte Leitlinien erlässt.

Das Konzept gibt es zwar schon seit September 2019, dennoch stellt sich für viele Unternehmen noch immer die Frage, wie ein mögliches Bußgeld berechnet wird. Wir erklären Ihnen die Bemessung des DSGVO-Bußgelds detailliert im folgenden Blogartikel.

Am einfachsten verschaffen Sie sich jedoch mit unserem DSGVO-Bußgeldrechner einen Überblick. Diesen finden Sie hier. 

 

WICHTIG/UPDATE:

Die im Blog gezeigte Berechnungsgrundlage ist Stand 2019/2020 und damit veraltet. Seit Mai 2022 gilt:

Auf europäischer Ebene werden derzeit neue Guidelines für die Berechnung von Datenschutzbußgeldern erarbeitet. Hier die in 05/22 veröffentlichten Guidelines:

https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf

Wichtig ist dabei, dass eine „Vorausberechnung“ der Bußgeldhöhe nach diesem im Video/Artikel dargestellten System wohl nicht möglich ist. Vielmehr kommt es nach Ansicht des EDSA entscheidend auf alle Besonderheiten des Einzelfalls an.

Das deutsche Modell zur Bußgeldberechnung wurde in der Vergangenheit schon gerichtlich angegriffen (Urteil 1 & 1 ) und ist jetzt endgültig gescheitert.

 

Allgemeine Bedingungen für die Verhängung von Geldbußen

Die allgemeinen Bedingungen für die Verhängung von Geldbußen werden in Art. 83 DSGVO geregelt. Jede Aufsichtsbehörde sollte demnach sicherstellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Zudem sollten bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag unter anderem insbesondere die folgenden Punkte gebührend berücksichtigt werden:

  • die Art, Schwere und Dauer des Verstoßes
  • die Vorsätzlichkeit oder Fahrlässigkeit der Verstoßes
  • die getroffenen Maßnahmen zu Schadensminderung
  • die Kategorien der betroffenen personenbezogenen Daten
  • die Art und Weise, wie der Verstoß bekannt wurde.

 

Neues Konzept zur Bußgeldbemessung der Datenschutzkonferenz

Die Berechnung des Bußgeldes nach dem neuen Konzept der Datenschutzkonferenz erfolgt grundsätzlich gemäß folgender Formel:

 

Bußgeld = Wirtschaftlicher Grundwert x Multiplikatoren.

 

Wie können Sie die einzelnen Komponenten der Formel und somit das Bußgeld ermitteln? Wir erklären es Ihnen in 5 Schritten:

 

1. Einordnung des Unternehmens in eine Größenklasse

Im ersten Schritt ist eine Einordnung des Unternehmens in eine Größenklasse auf Grundlage des gesamten, weltweit erzielten Vorjahresumsatzes erforderlich. Dabei ist zwischen Kleinstunternehmen (Jahresumsatz bis 2 Mio. €), kleinen und mittleren Unternehmen (Jahresumsatz zwischen 2 und 50 Mio. €) und Großunternehmen (Jahresumsatz über 50 Mio. €) zu unterscheiden.

2. Bestimmung des mittleren Jahresumsatzes des Unternehmens

Im nächsten Schritt wird der mittlere Jahresumsatz des Unternehmens anhand der folgenden Tabelle bestimmt. Diese basiert auf den Vorgaben der Datenschutzkonferenz. Dabei gilt stets der Mittelwert der Umsatzspanne der jeweiligen Unternehmensgruppe. In unserem DSGVO-Bußgeldrechner erfahren Sie direkt nach der Eingabe Ihres Jahresumsatzes, in welcher Kategorie Ihr Unternehmen einzuordnen ist.

 

Unterkategorie

A

Kleinstunternehmen

≤ 2 Mio. €

 

B

Kleine

Unternehmen

≤ 10 Mio. €

C

Mittlere Unternehmen

≤ 50 Mio. €

D

Groß-unternehmen

> 50 Mio. €

I Jahresumsatz ≤ 700.000 € ≤ 5 Mio. € ≤ 12,5 Mio. € ≤ 75 Mio. €
Mittlerer Jahresumsatz 350.000 € 3,5 Mio. € 11,25 Mio. € 62,5 Mio. €
II Jahresumsatz ≤1,4 Mio. € ≤ 7,5 Mio. € ≤ 15 Mio. € ≤ 100 Mio. €
Mittlerer Jahresumsatz 1.050.000 € 6,25 Mio. € 13,75 Mio. € 87,5 Mio. €
III Jahresumsatz ≤ 2 Mio. € ≤ 10 Mio. € ≤ 20 Mio. € ≤ 200 Mio. €
Mittlerer Jahresumsatz 1,7 Mio. € 8,75 Mio. € 17,5 Mio. € 150 Mio. €
IV Jahresumsatz ≤ 25 Mio. € ≤ 300 Mio. €
Mittlerer Jahresumsatz 22,5 Mio. € 250 Mio. €
V Jahresumsatz ≤ 30 Mio. € ≤ 400 Mio. €
Mittlerer Jahresumsatz 27,5 Mio. € 350 Mio. €
VI Jahresumsatz ≤ 40 Mio. € ≤ 500 Mio. €
Mittlerer Jahresumsatz 35 Mio. € 450 Mio. €
VII Jahresumsatz ≤ 50 Mio. € > 500 Mio. €
Mittlerer Jahresumsatz 45 Mio. € Konkreter Jahresumsatz

 

3. Ermittlung des wirtschaftlichen Grundwerts

Nach Zuordnung des mittleren Jahresumsatzes des Unternehmens wird der wirtschaftliche Grundwert anhand folgender Formel ermittelt:

 

Wirtschaftlicher Grundwert = Mittlerer Jahresumsatz : 360 (Tage)

 

4. Multiplikation des wirtschaftlichen Grundwerts nach Schweregrad (tatbezogene Umstände)

Schließlich wird der wirtschaftliche Grundwert mit einem Faktor multipliziert, der je nach Schwere des Verstoßes zwischen 1-12 liegen kann.

Schweregrad Faktor für formelle Verstöße gemäß Art. 83 Abs. 4 DSGVO Faktor für materielle Verstöße gemäß Art. 83 Abs. 5, 6 DSGVO
Leicht 1 bis 2 1 bis 4
Mittel 2 bis 4 4 bis 8
Schwer 4 bis 6 8 bis 12
Sehr Schwer 6
Umsatz über 500 Mio 2 % 4 %

Ab einem jährlichen Umsatz von über 500 Mio. Euro werden pauschal 2% für formelle Verstöße nach Art. 83 Abs. 4 DSGVO und 4% für materielle Verstöße nach Art. 83 Abs. 5 und 6 DSGVO angesetzt, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.

Sie sind sich nicht sicher, in welche Kategorie Ihr Verstoß einzuordnen ist? Lesen Sie direkt in der DSGVO nach. 

5. Anpassung des wirtschaftlichen Grundwerts (täterbezogene Umstände)

Abschließend werden noch nicht berücksichtigte Umstände, die für und gegen das betroffene Unternehmen sprechen (z.B. Fahrlässigkeit, Vorsatz, Kooperation des Unternehmens), im Ermessen der Aufsichtsbehörde gewürdigt.

 

Zusammenfassend lässt sich sagen, dass die Berechnung des Bußgelds nach dem Konzept der Datenschutzkonferenz auf den ersten Blick recht einfach scheint. Dabei ist die Ermittlung der einzelnen Komponenten jedoch der eigentliche Aufwand. Außerdem können die Beträge durch die Anpassung der jeweiligen Aufsichtsbehörde nicht final ermittelt werden, weshalb auch online DSGVO-Bußgeldrechner nur einen ungefähren Betrag auswerfen können.

 

Sie möchten noch mehr zum Thema DSGVO-Bußgeld erfahren oder suchen einen Online DSGVO-Bußgeldrechner?

Lesen Sie auch unsere anderen Blogartikel zum Thema Bußgeld! Diese finden Sie in der Übersicht zum Schlagwort DSGVO Bußgeld.

Auf unserer Webseite finden Sie außerdem, wie eingangs erwähnt, einen Online DSGVO-Bußgeldrechner, mit dem Sie die für Ihr Unternehmen in Betracht kommende Bußgeld-Spanne ausrechnen können. Diesen finden Sie hier. 

Ihr Unternehmen befindet sich im Bußgeld-Risiko oder Sie mussten sogar schon ein DSGVO-Bußgeld bezahlen?

Als externer Datenschutzbeauftragter oder projektbasiert als Datenschutzberater helfen wir Ihnen gerne, Ihr Unternehmen DSGVO-konform aufzustellen.

 

Wir stehen Ihnen bei allen Themen rund um die Themen Datenschutz und Informationssicherheit zur Verfügung. Kontaktieren Sie uns gerne über unser Kontaktformular oder telefonisch unter +49 (0) 8505 – 91927-0.

This post is also available in: Englisch