Teilen Teilen Kommentare Drucken
Neue Bußgeldbemessung

So teuer sind jetzt DSGVO-Bußgelder

Veröffentlicht: 21.10.2019 | Autor: Melvin Louis Dreyer | Letzte Aktualisierung: 21.10.2019
Verschütteter Kaffee neben Brief von Datenschutzbehörde

Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes – So teuer können Bußgelder bei Verstößen gegen die Datenschutzgrundverordnung für Unternehmen werden. In welchem Bereich eine individuelle Geldbuße in Deutschland etwa liegen würde, das war bislang quasi unbekannt: Ungefähre Richtwerte ließen sich nur aus Bußgeldern ableiten, die gegen andere Verantwortliche verhängt wurden. Vor wenigen Tagen hat die Datenschutzkonferenz (DSK), das Gremium der einzelnen Datenschutzbehörden, aber ein neues Konzept zur Bemessung dieser Sanktionen veröffentlicht – wie teuer ein Verstoß nun wird, lässt sich relativ klar abgrenzen. Los geht es bei etwa 972 Euro. 

In fünf Schritten zum ungefähren Bußgeld 

1. Schritt
Der Ausgangspunkt ist dabei die Unternehmensgröße, basierend auf dem weltweiten Vorjahresumsatz. Dazu wurden verschiedene Größenklassen geschaffen. Unterteilt werden die Gruppen in Kleinstunternehmen, kleine, mittlere und große Unternehmen (Klassen A, B, C und D). Hier gibt es jeweils noch drei bis sieben Untergruppen. Die kleinste Klasse, A.I., erfasst alle Kleinunternehmen bis 700.000 Euro Jahresumsatz.

2. Schritt
Im zweiten Schritt wird der gemittelte Jahresumsatz der jeweiligen Gruppe bzw. Klasse bestimmt, auf die Werte des Unternehmens selbst kommt es nicht an. In der Klasse A.I. liegt der gemittelte Jahresumsatz somit bei 350.000 Euro. 

3. Schritt
Im dritten Schritt wird der wirtschaftliche Grundwert des Unternehmens festgestellt. Dafür wird der gemittelte Jahresumsatz aus Schritt 2 durch 360 Tage geteilt, sodass sich ein durchschnittlicher und gerundeter Tagesumsatz ergibt. Hier: 972 Euro. 

4. Schritt
Bis hierhin haben die Umstände des Einzelfalls noch gar keine Rolle gespielt. Das ändert sich mit dem vierten Schritt: Hier geht es um die Schwere der Tat, und damit um die konkreten tatbezogenen Umstände des Einzelfalls – damit wird es etwas komplizierter. So kommen hier etwa Art, Schwere und Dauer des Verstoßes ins Spiel, oder auch die Art der Daten, hinsichtlich derer es einen Verstoß gab – also etwa, ob es sich dabei um besonders sensible Daten zur Gesundheit o.ä. handelt. Auf dieser Grundlage wird die Tat nach ihrer Schwere in eine von vier Gruppen eingeteilt (Leicht, Mittel, Schwer und Sehr Schwer). Wie die Entscheidung hier genau ausfällt, liegt zunächst in den Händen der jeweiligen Datenschutzbehörde. In den verschiedenen Gruppen sind bestimmte Faktoren vorgesehen, mit denen der im 3. Schritt ermittelte Tagesumsatz multipliziert wird. Außerdem wird noch nach der Art des Verstoßes differenziert – es gibt formelle und materielle Verstöße (Siehe Tabelle unten).

5. Schritt
Der im 4. Schritt gefundene Wert wird nun noch an den „Täter“ angepasst – es werden hier noch weitere Punkte zur Berechnung des konkreten Bußgeldes berücksichtigt. In die Bewertung fließt beispielsweise ein, ob es sich um einen vorsätzlichen oder fahrlässigen Verstoß handelt, oder ob der Verantwortliche Maßnahmen getroffen hat, um etwaige Schäden zu minimieren. Auch die Zusammenarbeit mit den Aufsichtsbehörden im Hinblick auf den Umgang mit dem Verstoß soll berücksichtigt werden, sowie jegliche andere erschwerende oder mildernde Umstände des Einzelfalls, beispielsweise eine drohende Zahlungsunfähigkeit. 

Das sind die ungefähren Kosten für Kleinstunternehmer:

dsgvobußgelder

Beispiele für materielle Verstöße: Unrechtmäßige Datenverarbeitung, Verstöße gegen die Bedingungen der Einwilligung, Unrechtmäßige Verarbeitung von Daten sensibler Kategorien, Verstöße gegen die Rechte betroffener Personen (bpsw. keine Antwort auf Auskunftsbitte), unrechtmäßige Datenübermittlung an Drittländer, Nichtbefolgung von Anweisungen durch Aufsichtsbehörden und weitere. 
Beispiele für formelle Verstöße: Keine geeigneten technischen und organisatorischen Maßnahmen zum Datenschutz getroffen, Verstöße bei Auftragsverarbeitung, Fehlerhaftes Verzeichnis von Verarbeitungstätigkeiten, Keine Schaffung eines angemessenen Schutzniveaus (bspw. keine Verschlüsselung), Keine (rechtzeitige) Meldung von Datenpannen an Aufsichtsbehörden und Betroffene und weitere.

Leichter Verstoß eines Online-Händlers – Beispiel

Online-Händler XY hat einen Jahresumsatz von 200.000 Euro. Da er unter dem geringsten Schwellenwert  (700.000 Euro Jahresumsatz) liegt, wird er in Klasse A.I. einsortiert. Der mittlere Jahresumsatz beträgt in dieser Gruppe 350.000 Euro, der Tagessatz (350.000 geteilt durch 360) beträgt ca. 972 Euro. Für einen leichten formellen Verstoß ergibt sich damit, dass das Bußgeld etwa zwischen 972 und 1.944 Euro beträgt – ohne die Berücksichtigung von Einzelfallumständen. 

Für wen gilt das Konzept?

Diese Berechnungsmethode gilt nur in Deutschland und nur für Unternehmer, nicht etwa für gemeinnützige Vereine außerhalb ihrer wirtschaftlichen Tätigkeit. Auch sind Gerichte nicht an diese Berechnung gebunden, vielmehr handelt es sich nur um die Grundlage für die Berechnung von Bußgeldern durch die Datenschutzbehörden. Auch soll sie nur so lange gelten, bis der Europäische Datenschutzausschuss abschließende Leitlinien zur Festsetzung von Bußgeldern erlassen hat. Das Schreiben der Datenschutzkonferenz kann hier abgerufen werden.

Über den Autor

Melvin Louis Dreyer Experte für IT- und Verbraucherrecht

Melvin ist seit Mitte 2018 Teil des juristischen Redaktionsteams. Er hat schon während seines Rechtswissenschaft-Studiums leidenschaftlich gerne Beiträge verfasst und Fachwissen vermittelt. Jetzt berichtet er als Redakteur regelmäßig zu rechtlichen Neuigkeiten und Fragestellungen in der Welt des E-Commerce und verwirklicht damit nebenbei auch noch seine Interessen an Gesellschaft und Wirtschaft. 

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Melvin Louis Dreyer

Kommentare  

#2 Angelika Thaler-Jung 2019-10-24 11:53
Wie krank ist das denn??
Kleinstbetriebe von 0 bis 700.000.-€ Umsatz mit dem gleichen Tagessatz zu bestrafen? Schon alleine der Zustand "ohne die Berücksichtigun g von Einzelfallumstä nden" ist einfach unangemessen und frech!
Zitieren
#1 Thomas 2019-10-23 16:52
Ja klar, und wer streicht die Bußgelder ein?

Bekommen da die Kindergärten, Schulen usw. das
Geld oder macht sich da nur wieder wer die Taschen voll?

Wieso muss der kleine gleich einen so hohen Betrag zahlen
und der große wird bei 20 Millionen gedeckelt?

Ach ja, der große könnte sich ja wehren und der kleine ja nicht!

Es werden immer mehr Umständen geschaffen es den Abmahnern leichter zu machen!

Ich glaube langsam das wir kein Klima sondern ein Intelligenz Problem haben!

Man sollte die NASA unterstützen!

Die sucht auf anderen Planeten nach Intelligentem Leben! LOL
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.