Keine DSGVO-Seite, ohne das leidige Thema Strafe oder Bußgeld! Weshalb ist das so?
Die Bedingungen für die Verhängung eines Bußgeldes bei Datenschutzverstößen richten sich nach Art. 83 DSGVO. Bußgelder müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Bei der Entscheidung darüber, ob und in welcher Höhe eine Geldbuße verhängt werden soll, werden unter anderem Art, Schwere und Dauer des Verstoßes gebührend Berücksichtigung finden. Auch das Ausmaß des erlittenen Schadens, vorsätzliches oder fahrlässiges Handeln und die Art der personenbezogenen Daten, die von dem Verstoß betroffen sind, können eine Rolle spielen. Zu berücksichtigen sind auch der Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten, die von ihr Unternehmen verarbeitet sowie einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters und ihr Umfang der Zusammenarbeit mit den Aufsichtsbehörden. Je nach Art und Schwere des Verstoßes sieht die DSGVO Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes vor.
Im Oktober 2019 hat die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ein Bußgeldkonzept verabschiedet. Es lieferte den Datenschutzbehörden eine einheitliche Methode, um Geldbußen zu bemessen. Eines der Ziele war es sicherlich, klarzustellen, dass Unternehmen mit hohen Bußgeldern rechnen müssen, wenn sie die Vorgaben der DSGVO nicht beachten.
Mit dem Bußgeldkonzept der DSK wurde die Höhe des Bußgeldes an den Umsatz gebunden. So konnte in etwa abgeschätzt werden, wie hoch es je nach Schwere der Tat in etwa ausfallen wird. Inzwischen sind auch eine Reihe von DSGVO-Bußgeldrechnern im Netz verfügbar.
Die Höhe der DSGVO-Bußgelder ist in jedem Fall an den globalen Vorjahresumsatz geknüpft. Der Umsatz-Begriff bezieht sich auf den der „wirtschaftlichen Einheit“, also den des gesamten Konzerns. Daran bemisst sich das Bußgeld auch dann, wenn der DSGVO-Verstoß einem Tochterunternehmen zuzuordnen ist.
Unternehmen, deren Produkte oder Dienstleistungen geringe Gewinnmargen aufweisen, haben bei dieser Bußgeldberechnung enorme Nachteile gegenüber solchen mit hohen Gewinnmargen. Sie bezahlen bei gleich hohem Umsatz verhältnismäßig höhere Bußgelder.
Im Bußgeldkonzept der DSK gibt es weiter eine Gewichtung nach leichten, mittleren, schweren und sehr schweren Verstößen. Bei dieser Gewichtung eröffnen sich Auslegungsspielräume und Benachteiligungsmöglichkeiten für betroffene Unternehmen.
Ein weiteres Problem des Bußgeldkonzepts des DSK ist, dass mehrere Einzelverstöße bis dato aufsummiert werden, also beachtliche und teils kaum zu bewältigende Gesamtstrafen gebildet werden könnten. Dies scheint unausgewogen.
Das LG Bonn (Az: 29 OWi-430 Js-OWi 366/20-1/20) hält eine rein umsatzbezogene Bußgeldberechnung, wie es aktuell das Bußgeldkonzept der DSK vorsieht, für unverhältnismäßig. Der Umsatz des Unternehmens sei kein Zumessungsgesichtspunkt nach Art. 83 Abs. 2 DSGVO. Auch wenn der den gesamten Konzernumsatz umfassende Umsatz für die Ahndungsempfindlichkeit ein wesentlicher Faktor sei, stelle er nur einen von vielen Faktoren dar.
Eine reine Umsatzbezogenheit versage
Im ersten Fall führe dies zu unverhältnismäßig hohen, im zweiten Fall zu unverhältnismäßig niedrigen Bußgeldern. Laut LG Bonn müsse die Einbeziehung tatbezogener Faktoren berücksichtigt werden.
Damit stehen wir an dem Punkt, an wir im September 2019 standen: Die Höhe eines Bußgeldes lässt sich derzeit nicht annähernd bestimmen. Mit den Bußgeldrechnern im Netz kommen wir augenblicklich nicht weiter!
Aber es geht auch anders. Niemand muss sich um Bußgelder Gedanken machen, wenn die DSGVO im Unternehmen umgesetzt wird!
Einfach mal auf der Webseite umschauen, was alles an Leistungen im DSGVO-Service enthalten ist! Umschauen und staunen!
Ihr Team vom DSGVO-Service!
Alles neu macht der Mai: Am 12. Mai 2022 verabschiedete der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zur Berechnung von Bußgeldern im Rahmen der Datenschutz-Grundverordnung (DSGVO) mit dem Ziel, die Handhabung der datenschutzrechtlichen Bußgeldbestimmungen europaweit zu vereinheitlichen.
Die Leitlinien sehen folgende Schritte zur Berechnung von Bußgeldern vor:
Identifizierung der betroffenen Verarbeitungsvorgänge (Kategorien der betroffenen Daten); dabei sind insbesondere Art, Schwere und Dauer des Verstoßes (Stichworte Fahrlässigkeit, Vorsatz) sowie der Umsatz des betroffenen Unternehmens zu berücksichtigen. Anschließend erfolgen eine Einstufung der Schwere des Verstoßes und die Ermittlung des sogenannten Ausgangsbetrages. Erschwerende sowie mildernde Umstände werden in die Erwägungen einbezogen. Im letzten Schritt wird überprüft, ob das zu verhängende Bußgeld zugleich wirksam, abschreckend und verhältnismäßig ist. Erforderlichenfalls wird das Bußgeld angepasst.
Bei der Ermittlung des Ausgangsbetrages wird in drei Kategorien unterschieden, in geringe, in mittlere und in schwerwiegende Verstöße. In der ersten Kategorie liegt der Ausgangsbetrag für die weitere Berechnung zwischen 0 und 10% des geltenden gesetzlichen Höchstbetrages, in der zweiten zwischen 10 und 20% und in der dritten zwischen 20 und 100%. Je schwerer der Verstoß innerhalb einer Kategorie, desto höher wird der Ausgangsbetrag sein.
Da das Konzept an den (Konzern-)Umsatz angelehnt ist, wird auch künftig mit empfindlichen Geldbußen zu rechnen sein.
Ihr Team vom DSGVO-Service!