Die deutschen Datenschutzbehörden haben sich in der letzten Datenschutzkonferenz am 25.06.19 auf ein neues Modell zur Berechnung von DS-GVO Bußgelder geeignet. Nun drohen deutlich höhere Bußgelder als bislang üblich.
Die drohenden immensen Bußgelder waren es, die der DS-GVO im Frühjahr letzten Jahres Ihren Schrecken verliehen haben. Doch die bisher verhängten Bußgeldbescheide in Deutschland waren eher verhalten und unterschieden sich stark von Bundesland zu Bundesland.
Das geht aus einem Resümee der Kanzlei CMS hervor.
Nach der Bekanntgabe der geplanten Lockerung der Bestellpflicht für Datenschutzbeauftragte, haben viele Unternehmen mit weniger als 20 Mitarbeitern das Thema fälschlicherweise abgeschrieben. Natürlich muss die DS-GVO auch weiterhin von allen Unternehmen umgesetzt werden, bei Verstößen drohen Bußgelder, die durch das neue Modell nun bundesweit vereinheitlicht werden soll. Treibende Kräfte sollen laut aktuellen Meldungen die Länder Berlin, Niedersachsen und Baden-Württemberg gewesen sein. 16 Teilnehmer stimmten der Änderung zu, nur ein Mitglied enthielt sich bei der Abstimmung. Dies geht aus dem Protokoll der DSK hervor.
Update: In der Konferenz am 14.10. wurde dieses Modell als PDF veröffentlicht. Sie finden das Konzept hier.
Die große Zustimmung zu dem neuen Konzept zeigt, wie dringend die Behörden eine gemeinsame Bewertungsgrundlage gebraucht haben. Im Folgenden erläutern wir, wie diese Bewertungsgrundlage aussieht und welche Faktoren zukünftig berücksichtigt werden. Kommt es zu einem Datenschutzverstoß, so kann sich nun z.B. die Dauer des Verstoßes massiv auf das Bußgeld auswirken.
Wie werden DS-GVO Bußgelder zukünftig berechnet?
Das neue Modell ist erwartungsgemäß umfangreich und komplex. Wer einen Blick in die DS-GVO wirft, versteht auch schnell warum. Denn in Art. 83 Abs. 1 DS-GVO wird explizit gefordert, dass zu verhängende Bußgelder „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen. Wie Tim Wybitul, Partner bei Latham & Watkins berichtet, sollen die Behörden die Neuerung bereits einsetzen.
Ermittlung der "Schwere des Verstoßes"
Die Berechnungsgrundlage für das neue Modell ist der Umsatz des Unternehmens, auf dessen Basis dann ein „Tagessatz“ berechnet wird. Der ermittelte Wert wird dann je nach Schwere des Vergehens mit einem Faktor multipliziert. Die Faktoren werden in 5 Kategorien eingeteilt, die folgende Einteilungen vorsehen:
- Leichter Verstoß: Faktor 1 bis 4,
- Mittlerer Verstoß: Faktor 4 bis 8,
- Schwerer Verstoß: Faktor 8 bis 12,
- Sehr schwerer Verstoß mit Höchstfaktor: Faktor 12 bis 14,4,
- Sehr schwerer Verstoß ohne Höchstfaktor: Faktor ab 12.
Der ermittelte Wert wird auf Grundlage von Art. 83 Abs. 2 DS-GVO auf den jeweiligen Einzelfall zugeschnitten. Um den „Tagessatz“ eines Unternehmens zu ermitteln, teilt man den erwirtschafteten Jahresumsatz durch 360. Unternehmen mit weniger als 500 Mio. Euro Umsatz werden in Größenklassen unterteilt (z.B. Umsatz zwischen EUR 700.000 und EUR 1,4 Mio. – Größenklasse A.II). Anschließend wird der Mittelwert dieser Klasse durch 360 geteilt.
Hat ein Unternehmen einen Datenschutzverstoß begangen, der der Behörde vorliegt, so fordert diese das Unternehmen auf, seinen weltweit erzielten Umsatz aus dem Vorjahr offenzulegen. Bei Verweigerung der Angabe wird der Umsatz geschätzt.
Beispielberechnung eines Bußgeldes
Haben Sie bspw. im letzten Jahr 800 Millionen € Umsatz gemacht und Ihnen wird ein schwerer Verstoß zur Last gelegt, so könnte ein zu verhängendes Bußgeld wie folgt berechnet werden:
Berechnung Tagessatz: 720.000.000/360 = 2 Mio €
Multipliziert mit Faktor 8 – 12 wegen der Schwere des Vergehens, ergibt sich zunächst ein Bußgeldkorridor zwischen 16 Mio. € und 24 Mio. €.
Ermittlung der Umstände
Dieses Bußgeld kann dann anhand des Tathergangs nochmal verändert werden. Dabei werden folgende Kriterien bewertet:
- Dauer des Verstoßes,
- Art, Umfang und Zweck der betreffenden rechtswidrigen Verarbeitung,
- Anzahl der von der Verarbeitung betroffenen Personen und das
- Ausmaß des von den Personen erlittenen Schadens.
Für jedes Kriterium vergibt die Behörde sodann 0-4 Punkte. „Senkende Umstände“ erhalten 0 Punkte, „eher senkende Umstände“ 1 Punkt, „gleichbleibende“ 2 Punkte, „eher erhöhende“ 3 Punkte und „erhöhende Umstände“ erhalten 4 Punkte. Diese Punkte werden dann zusammengerechnet und können den zuvor ermittelten Schweregrad des Vergehens heben oder senken und damit auch den Bußgeldkorridor verändern:
- 0-5 Punkte: ermittelter Schweregrad wird gesenkt,
- 6-10 Punkte: Schweregrad bleibt unverändert,
- 11-16 Punkte: Schweregrad wird erhöht.
Wurde ein leichter Verstoß begangen und wird dieser nach obiger Einteilung mit 0 Punkten bewertet, kann der Schweregrad nicht mehr weiter gesenkt werden. In diesem Fall ist es möglich, dass man ohne Bußgeld "davon kommt" und lediglich verwarnt wird. Bei sehr schweren Verstößen und vielen Punkten bei der Bewertung des Tathergangs kann sich das Bußgeld verdoppeln. Natürlich gelten weiterhin die in Art. 83 Abs. 4 und Abs. 5 DS-GVO festgelegten Obergrenzen von 2 Prozent oder 4 Prozent des Jahresumsatzes, die auch mit dem neuen Bußgeldmodell nicht überschritten werden dürfen.
Weitere bußgeldrelevante Faktoren
Anschließend werden die sonstigen relevanten Bußgeldzumessungskriterien des Art. 83 Abs. 2 DS-GVO bewertet. Darunter fallen: |
|---|
Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes |
Jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens |
Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen |
Etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters |
Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern |
Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind |
Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat |
Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden |
Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 |
Diese Kriterien können das Bußgeld nochmal um bis zu 300% steigern bzw. um 25% mindern.
Zuletzt werden jegliche andere erschwerende oder mildernde Umstände geprüft, die sich dann ggf. auf das Bußgeld auswirken können. Dazu gehören z.B. unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. Abschließend prüft die Behörde nochmal, ob die in der DS-GVO festgelegten Höchstgrenzen von 2% bzw. 4% des Jahresumsatzes oder 10 bzw. 20 Mio. Euro eingehalten werden und ob das Bußgeld „verhältnismäßig, wirksam und abschreckend“ ist.
Fazit
Damit wird der Datenschutz im Unternehmen nochmal stärker in den Fokus gerückt, da Verstöße nun mit empfindlichen Geldstrafen geahndet werden. Da die meisten Datenpannen nicht etwa durch Softwarefehler sondern vielmehr durch menschliches Versagen, oft nur kleine "Flüchtigkeitsfehler" entstehen, empfiehlt es sich, das Bewusstsein der Mitarbeiter für den Datenschutz zu steigern. Das kann schon durch eine regelmäßige Schulung der Belegschaft erreicht werden.
Durch die Lockerung der Bestellpflicht, nach der ein DSB künftig erst ab einer Grenze von 20 Mitarbeitern bestellt werden muss, wird die Geschäftsführung stärker in die Pflicht genommen. Denn nun fehlt in vielen kleineren Unternehmen u.U. ein fachkundiger Experte, der auf die Umsetzung und Einhaltung der Vorschriften achtet. Ist kein DSB bestellt, so muss die Geschäftsführung sich zwangsweise verstärkt mit dem Thema auseinandersetzen.
Daniel Lüttgens
