DSGVO-Bußgeldrechner – Bußgeldberechnung bei DSGVO-Verstößen

10. Juni 2020 von Nadja-Maria Becke

Die Datenschutzkonferenz hat ein Konzept zur Bemessung des DSGVO-Bußgelds im Verfahren gegen Unternehmen beschlossen, das den abstrakten Kriterienkatalog aus Art. 83 DSGVO konkretisiert. Ziel ist es dabei eine transparente und einzelfallgerechte Form der Bußgeldbemessung zu erhalten. Das Konzept soll als national geltende Leitlinie für die Bußgeldbemessung dienen, bis der Europäische Datenschutzausschuss unionsweite harmonisierte Leitlinien erlässt.

Das Konzept gibt es zwar schon seit September 2019, dennoch stellt sich für viele Unternehmen noch immer die Frage, wie ein mögliches Bußgeld berechnet wird. Wir erklären Ihnen die Bemessung des DSGVO-Bußgelds detailliert im folgenden Blogartikel.

Am einfachsten verschaffen Sie sich jedoch mit unserem DSGVO-Bußgeldrechner einen Überblick. Diesen finden Sie hier.

Allgemeine Bedingungen für die Verhängung von Geldbußen

Die allgemeinen Bedingungen für die Verhängung von Geldbußen werden in Art. 83 DSGVO geregelt. Jede Aufsichtsbehörde sollte demnach sicherstellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Zudem sollten bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag unter anderem insbesondere die folgenden Punkte gebührend berücksichtigt werden:

die Art, Schwere und Dauer des Verstoßes
die Vorsätzlichkeit oder Fahrlässigkeit der Verstoßes
die getroffenen Maßnahmen zu Schadensminderung
die Kategorien der betroffenen personenbezogenen Daten
die Art und Weise, wie der Verstoß bekannt wurde.

Neues Konzept zur Bußgeldbemessung der Datenschutzkonferenz

Die Berechnung des Bußgeldes nach dem neuen Konzept der Datenschutzkonferenz erfolgt grundsätzlich gemäß folgender Formel:

Bußgeld = Wirtschaftlicher Grundwert x Multiplikatoren.

Wie können Sie die einzelnen Komponenten der Formel und somit das Bußgeld ermitteln? Wir erklären es Ihnen in 5 Schritten:

1. Einordnung des Unternehmens in eine Größenklasse

Im ersten Schritt ist eine Einordnung des Unternehmens in eine Größenklasse auf Grundlage des gesamten, weltweit erzielten Vorjahresumsatzes erforderlich. Dabei ist zwischen Kleinstunternehmen (Jahresumsatz bis 2 Mio. €), kleinen und mittleren Unternehmen (Jahresumsatz zwischen 2 und 50 Mio. €) und Großunternehmen (Jahresumsatz über 50 Mio. €) zu unterscheiden.

2. Bestimmung des mittleren Jahresumsatzes des Unternehmens

Im nächsten Schritt wird der mittlere Jahresumsatz des Unternehmens anhand der folgenden Tabelle bestimmt. Diese basiert auf den Vorgaben der Datenschutzkonferenz. Dabei gilt stets der Mittelwert der Umsatzspanne der jeweiligen Unternehmensgruppe. In unserem DSGVO-Bußgeldrechner erfahren Sie direkt nach der Eingabe Ihres Jahresumsatzes, in welcher Kategorie Ihr Unternehmen einzuordnen ist.

Unterkategorie		A Kleinstunternehmen ≤ 2 Mio. €	B Kleine Unternehmen ≤ 10 Mio. €	C Mittlere Unternehmen ≤ 50 Mio. €	D Groß-unternehmen > 50 Mio. €
I	Jahresumsatz	≤ 700.000 €	≤ 5 Mio. €	≤ 12,5 Mio. €	≤ 75 Mio. €
I	Mittlerer Jahresumsatz	350.000 €	3,5 Mio. €	11,25 Mio. €	62,5 Mio. €
II	Jahresumsatz	≤1,4 Mio. €	≤ 7,5 Mio. €	≤ 15 Mio. €	≤ 100 Mio. €
II	Mittlerer Jahresumsatz	1.050.000 €	6,25 Mio. €	13,75 Mio. €	87,5 Mio. €
III	Jahresumsatz	≤ 2 Mio. €	≤ 10 Mio. €	≤ 20 Mio. €	≤ 200 Mio. €
III	Mittlerer Jahresumsatz	1,7 Mio. €	8,75 Mio. €	17,5 Mio. €	150 Mio. €
IV	Jahresumsatz			≤ 25 Mio. €	≤ 300 Mio. €
IV	Mittlerer Jahresumsatz			22,5 Mio. €	250 Mio. €
V	Jahresumsatz			≤ 30 Mio. €	≤ 400 Mio. €
V	Mittlerer Jahresumsatz			27,5 Mio. €	350 Mio. €
VI	Jahresumsatz			≤ 40 Mio. €	≤ 500 Mio. €
VI	Mittlerer Jahresumsatz			35 Mio. €	450 Mio. €
VII	Jahresumsatz			≤ 50 Mio. €	> 500 Mio. €
VII	Mittlerer Jahresumsatz			45 Mio. €	Konkreter Jahresumsatz

3. Ermittlung des wirtschaftlichen Grundwerts

Nach Zuordnung des mittleren Jahresumsatzes des Unternehmens wird der wirtschaftliche Grundwert anhand folgender Formel ermittelt:

Wirtschaftlicher Grundwert = Mittlerer Jahresumsatz : 360 (Tage)

4. Multiplikation des wirtschaftlichen Grundwerts nach Schweregrad (tatbezogene Umstände)

Schließlich wird der wirtschaftliche Grundwert mit einem Faktor multipliziert, der je nach Schwere des Verstoßes zwischen 1-12 liegen kann.

SCHWEREGRAD	FAKTOR FÜR FORMELLE VERSTÖSSE GEMÄSS ART. 83 ABS. 4 DSG	FAKTOR FÜR MATERIELLE VERSTÖSSE GEMÄSS ART. 83 ABS. 5, 6 DSG
Leicht	1 bis 2	1 bis 4
Mittel	2 bis 4	4 bis 8
Schwer	4 bis 6	8 bis 12
Sehr Schwer	6
Umsatz über 500 Mio	2 %	4 %

Ab einem jährlichen Umsatz von über 500 Mio. Euro werden pauschal 2% für formelle Verstöße nach Art. 83 Abs. 4 DSGVO und 4% für materielle Verstöße nach Art. 83 Abs. 5 und 6 DSGVO angesetzt, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.

Sie sind sich nicht sicher, in welche Kategorie Ihr Verstoß einzuordnen ist? Lesen Sie direkt in der DSGVO nach.

5. Anpassung des wirtschaftlichen Grundwerts (täterbezogene Umstände)

Abschließend werden noch nicht berücksichtigte Umstände, die für und gegen das betroffene Unternehmen sprechen (z.B. Fahrlässigkeit, Vorsatz, Kooperation des Unternehmens), im Ermessen der Aufsichtsbehörde gewürdigt.

Zusammenfassend lässt sich sagen, dass die Berechnung des Bußgelds nach dem Konzept der Datenschutzkonferenz auf den ersten Blick recht einfach scheint. Dabei ist die Ermittlung der einzelnen Komponenten jedoch der eigentliche Aufwand. Außerdem können die Beträge durch die Anpassung der jeweiligen Aufsichtsbehörde nicht final ermittelt werden, weshalb auch online DSGVO-Bußgeldrechner nur einen ungefähren Betrag auswerfen können.

Sie möchten noch mehr zum Thema DSGVO-Bußgeld erfahren oder suchen einen Online DSGVO-Bußgeldrechner?

Lesen Sie auch unsere anderen Blogartikel zum Thema Bußgeld! Diese finden Sie in der Übersicht zum Schlagwort DSGVO Bußgeld.

Auf unserer Webseite finden Sie außerdem, wie eingangs erwähnt, einen Online DSGVO-Bußgeldrechner, mit dem Sie die für Ihr Unternehmen in Betracht kommende Bußgeld-Spanne ausrechnen können. Diesen finden Sie hier.

Ihr Unternehmen befindet sich im Bußgeld-Risiko oder Sie mussten sogar schon ein DSGVO-Bußgeld bezahlen?

Als externer Datenschutzbeauftragter oder projektbasiert als Datenschutzberater helfen wir Ihnen gerne, Ihr Unternehmen DSGVO-konform aufzustellen.

Wir stehen Ihnen bei allen Themen rund um die Themen Datenschutz und Informationssicherheit zur Verfügung. Kontaktieren Sie uns gerne über unser Kontaktformular oder telefonisch unter +49 (0) 8505 – 91927-0.

Nadja-Maria Becke

Nadja-Maria Becke leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.