loader image

News Room

Follow us on Linkedin

49. Wie Bußgelder nach der DSGVO berechnet werden

von | 2 Jun 2023 | Datenschutz

DSGVO Bußgelder

Foto von Alexander Grey

Die in der öffentlichen Wahrnehmung bekannteste Regelung der Datenschutzgrundverordnung (DSGVO) betrifft keine datenschutzrechtliche Vorgabe im eigentlichen Sinn, sondern die Rechtsfolge eines möglichen Verstoßes. Die Möglichkeit drakonischer Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Gruppen-Jahresumsatzes (Art. 83 Abs. 5 DSGVO) wurde von Anfang an diskutiert und führte zu Unsicherheiten bei Unternehmen. Jüngst wurde durch die zuständige irische Aufsichtsbehörde ein neues Rekordbußgeld in Höhe von 1,2 Milliarden Euro gegen den Facebook-Mutterkonzern Meta verhängt. In Deutschland wurde das bisher höchste Bußgeld mit 35.258.708 Euro von der Hamburger Aufsichtsbehörde gegen H&M verhängt.

Doch wie werden die konkreten Bußgelder gegen Unternehmen ermittelt? Und was kann man zur Reduzierung tun?

Einzelfallentscheidungen durch die zuständigen Aufsichtsbehörden

Die Zuständigkeit für die Verhängung von Geldbußen liegt bei der Aufsichtsbehörde des Bundeslandes, in dem das Unternehmen ansässig ist.  Die Höhe der Bußgelder kann sehr unterschiedlich ausfallen und hängt von den konkreten Umständen im Einzelfall ab. Der zentrale Ansatzpunkt für die Bemessung des Bußgeldes sind Art, Schwere und Dauer des Verstoßes.

Die Art des Verstoßes spielt bereits bei der Aufteilung in zwei unterschiedlichen Höchstbeträgen eine Rolle (10 bzw. 20 Millionen EUR), da bestimmte Verstöße gegen Bestimmungen der DSGVO schwerer wiegen als andere.

Kriterienkatalog des Art. 83 DSGVO

Die DSGVO beinhaltet in Art. 83 DSGVO (flankiert von Erwägungsgrund 150) einen Kriterienkatalog, der Aufschluss darüber gibt, welchen Maßstab die Aufsichtsbehörden zu berücksichtigen haben. Es gibt auch andere verschärfende oder mildernde Umstände, doch besonders fallen folgende Kriterien ins Gewicht:

  • Wie groß ist der Kreis der Betroffenen? Wie schwerwiegend sind die Datenschutzverletzungen für den Einzelnen?

Der Umfang der betroffenen Personen und die konkreten Auswirkungen für diese im Einzelfall bestimmen maßgeblich die Schwere des Vorfalls.

  • Welche Kategorien personenbezogener Daten sind betroffen?

Sind bei einem Verstoß besonders schützenswerte personenbezogene Daten wie etwa Gesundheitsdaten betroffen, fällt die Strafe ungleich höher aus.

  • Wurde der Verstoß vorsätzlich oder fahrlässig begangen?

Ausschlaggebend kann dafür sein, über welchen Zeitraum sich das vorwerfbare Verhalten erstreckt und ob etwa unter Missachtung unternehmensinterner Richtlinien oder öffentlicher Leitlinien der Aufsichtsbehörden gehandelt wurde.

  • In welcher Form und wie schnell wurde auf den Vorfall reagiert?

In von den europäischen Aufsichtsbehörden (Art.29-Datenschutzgruppe) veröffentlichten Leitlinien wird explizit darauf verwiesen, dass Unternehmen alles Erdenkliche zur Abmilderung der Folgen für Betroffene tun müssen.

  • Welche Maßnahmen zur Vermeidung von Datenschutzvorfällen sind bereits implementiert und werden in Folge des Vorfalls ergriffen?

Aufsichtsbehörden prüfen, welche Schutzvorkehrungen sowie technische und       organisatorische Maßnahmen (TOM) ergriffen wurden.

  • Gab es bereits frühere Verstöße und wurden frühere Maßnahmen angeordnet?

Für Wiederholungstäter kann sich ein Verstoß besonders schwer auswirken, insbesondere     dann, wenn keine gezielten Gegenmaßnahmen ergriffen wurden.

  • Wie hat die Aufsichtsbehörde von dem Verstoß erfahren?

Der Verstoß sollte umgehend gemeldet werden, da die Geldbuße erheblich höher ausfallen kann, wenn der Verstoß erst aufgrund einer Beschwerde eines Betroffenen ans Licht kommt.

  • Wie arbeitet das Unternehmen im Umgang mit dem Vorfall mit der Aufsichtsbehörde zusammen?

Eine schnelle und transparente Kommunikation und kooperatives Verhalten gegenüber den Aufsichtsbehörden wirkt sich strafmildern aus.

Von den Kriterien zur Einzelfallentscheidung

Wie verfahren nun Aufsichtsbehörden bei der konkreten Bußgeldzumessung im Einzelfall?  Um den oben genannten Kriterien ausreichend Rechnung zu tragen und ein einheitliches Vorgehen zu gewährleisten, haben die deutschen Aufsichtsbehörden (Datenschutzkonferenz – DSK) ein Bußgeldkonzept in 5 Schritten entwickelt:

  1. Zuordnung in Größenklasse des Unternehmens
  2. Bestimmung des mittleren Jahresumsatzes
  3. Ermittlung eines wirtschaftlichen Grundwerts im Sinne eines Tagessatzes (Division durch 360)
  4. Multiplikation mit Faktor x (abhängig von Schwere der Tatumstände)
  5. Anpassungen aufgrund täterbezogener oder sonst unberücksichtigter Umstände

Beispiel nach DSK: Liegt der mittlere Jahresumsatz eines kleinen Unternehmens bei 350.000 EUR (ca. 29.000 EUR Umsatz pro Monat), so beläuft sich der Tagessatz auf 972 EUR. Angenommen, es müssten keine weiteren Zumessungskriterien der Stufe 5 berücksichtigt werden, so läge die Geldbuße bei leichten Verstößen zwischen 972 EUR und 1.944 EUR. Bei schweren Verstößen hingegen kann das Bußgeld zwischen 7.776 EUR und 11.664 EUR liegen.

Fazit: Möglichkeiten zur Einflussnahme auf Bußgelder

Der beste Schutz gegen Bußgelder ist und bleibt ein wirksames Datenschutz-Compliance-System zur Vermeidung von Datenschutzverstößen. Auch nach Feststellen eines Datenschutzverstoßes bleiben Unternehmen jedoch Möglichkeiten zur Einflussnahme auf Bußgelder. Im Kern stehen hier strategische Überlegungen über die Zusammenarbeit mir Aufsichtsbehörden. Ist ein Bußgeld absehbar, spielen insbesondere die glaubhafte Ergreifung effektiver Präventionsmaßnahmen für die Zukunft und die Kooperation mit der Aufsichtsbehörde gewichtige Rollen.

Sie haben Fragen oder möchten sich mit mir zu dem Thema austauschen? Dann schreiben Sie mir, ich freue mich auf Ihre Nachricht!

christian.herles@baer.legal