Berechnungsgrundlage für DSGVO-Bußgeld veröffentlicht

„Ein Datenschutzverstoß kann für Unternehmen zukünftig eine teure Angelegenheit werden.“

Dieses Fazit ziehen wir eindeutig aus dem veröffentlichten Konzept der deutschen Aufsichtsbehörden, das darüber Auskunft gibt, wie diese künftig das DSGVO-Bußgeld bei Datenschutz-Verstößen bemessen wollen.

Egal ob Datenverlust oder Datenpanne: das DSGVO-Bußgeld dürfte demnach zukünftig erheblich höher ausfallen. Das Konzept finden Sie unter folgendem Link:

Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen vom 14. September 2019

Wie funktioniert die DSGVO-Bußgeld-Bemessung?

Vereinfacht gesagt erfolgt die Bemessung so:

Grundwert: Anhand des Umsatzes des Unternehmens erfolgt die Ermittlung nach Größenklassen und Untergruppen, die zu einer Art Tagessatz („Grundwert“) führen, anhand von Tabellen.

Schwere des Tatvorwurfs: Der Grundwert wird dann mit einem Faktor zwischen 1 – 12 multipliziert, je nach Schwere des Tatvorwurfs (leicht, mittel, schwer) und je nachdem, ob ein formeller oder materieller Verstoß vorliegt. Hierbei werden die Kriterien des Art. 83 Abs. 2 DSGVO berücksichtigt (Art und Schwer des Verstoßes, Fahrlässigkeit/Vorsatz, frühere Verstöße, Zusammenarbeit etc.).

Korrektur: Im letzten Schritt erfolgt eine Anpassung des so ermittelten Betrages nach unten oder oben, um noch nicht berücksichtigte Umstände zu würdigen (täterbezogene Umstände des Art. 83 Abs. 2 DSGVO und sonstige Umstände wie Verfahrensdauer oder drohende Zahlungsunfähigkeit).

Nachfolgend finden Sie ein paar Beispiele für Tagessätze (Grundwerte):

  • bis 750.000 € Umsatz: € 972,-
  • 1 Mio. € Umsatz: € 2.917,-
  • 5 Mio. € Umsatz: € 9.722,-
  • 10 Mio. € Umsatz: € 24.306 ,-
  • 100 Mio. € Umsatz: € 243.056,-

Bei Unternehmen ab einem jährlichen Umsatz von über 500 Mio € ist der prozentuale Bußgeldrahmen von 2% bzw. 4% des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, so dass bei diesen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt!

 

Video: DSGVO-Bußgeldhöhe einfach erklärt

NEU: Auf unserem YouTube Channel erklären wir stets komplexe Sachverhalte nochmal zusätzlich einfach und verständlich! Ein Video zum DSGVO-Bußgeld mit Erklärung der zukünftigen Berechnung finden Sie hier:

Bei einem mittleren Verstoß gegen materielle Datenschutzvorschriften (z.B. Verarbeitung ohne Rechtsgrundlage) wird der Betrag voraussichtlich mit dem Faktor 6 multipliziert. So kommen bei einem KMU mit einstelligem Millionenumsatz schnell € 50.000,- zusammen. Bei einem Freiberufler mit minimalem Umsatz ist dabei immerhin ein DSGVO-Bußgeld in Höhe € 5.000.

Selbst bei kleinsten formalen Datenschutzverletzungen, wie eine falsche oder ungenügende Klausel in einem Auftragsverarbeitungsvertrag, beträgt der Faktor mindestens 1. Für ein größeres Unternehmen mit z.B. 50 Mio. Jahresumsatz sind das dann gleich mal 100.000 Euro. Man kann dann nur noch auf eine Korrektur nach unten, im letzten Schritt des Bemessungsschemas hoffen.

Die Aufsichtsbehörden legen stets einen funktionalen Unternehmensbegriff zu Grunde. Dieser orientiert sich nicht an juristischen Unternehmen, sondern an der gesamten „wirtschaftlichen Einheit“. D.h. , dass ein Konzern, der aus mehreren rechtlich selbstständigen Tochtergesellschaften besteht, in der Regel eine wirtschaftliche Einheit und damit ein Unternehmen ist. Voraussetzung ist lediglich, dass die Muttergesellschaft bestimmenden Einfluss auf die Tochtergesellschaft ausüben kann. Dies wird nach der EuGH Rechtsprechung vermutet, wenn die Muttergesellschaft alle oder nahezu alle Anteile an der Tochtergesellschaft hält. Einer kleinen Tochtergesellschaft mit umsatzstarker Mutter im Ausland drohen damit sehr hohe Bußgelder, da der Umsatz der Muttergesellschaft beim Grundwert mitgerechnet wird.

Was sollten Unternehmen beachten?

Anfragen und Ermittlungen von Aufsichtsbehörden sind mit erhöhter Aufmerksamkeit und Sorgfalt zu begegnen. Im Einzelfall, etwa wenn das Tätigwerden der Behörde auf Beschwerden zurückgeht, bietet sich vorherige Akteneinsicht an. Im Hinblick auf potentiell steigende DSGVO-Bußgelder bietet sich zudem unter Umständen die Prüfung der Deckungssummen von D&O- und Betriebshaftpflichtversicherungen des Unternehmens sowie seiner Dienstleister (z.B. Auftragsverarbeiter) an. Bestehende Datenschutzstrukturen und -prozesse müssen weiterhin intensiv daraufhin geprüft werden, inwiefern sie geeignet sind Bußgelder zu vermeiden oder zu verringern.

 

Sie haben Fragen zu diesem Thema? Rufen Sie uns gerne unter der Telefonnummer 08505 919 27-0 an oder füllen Sie unser Kontaktformular aus. Wir beraten Sie gerne!

This post is also available in: Englisch