DSGVO: Neues Modell zur Berechnung von Bußgeldern in Millionenhöhe

Update 2

Jetzt ist es amtlich: Deutsche Datenschutzbehörden verabschieden neues Rechenmodell zu DSGVO-Bußgeldern

Einzelne Behörden hatten das Rechenmodell der Datenschutzkonferenz DSK, dem Zusammenschluss aller deutschen Datenschutzbehörden, seit Mitte des Jahres 2019 schon in der Praxis angewendet. Dennoch hatte die DSK darauf hingewiesen, dass es noch keine allgemeine abgestimmte Version dieses Rechenmodells gebe. Nun hat die DSK ihr Konzept verabschiedet und veröffentlicht. Die Berechnung der Bußgelder erfolgt danach in fünf Schritten:

  • Das Unternehmen, das den Datenschutzverstoß begangen hat, wird zunächst einer von vier Größenklasse zugeordnet. Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen. Im zweiten Schritt bestimmt die Behörde den mittleren Jahresumsatz und anschließend den wirtschaftlichen Grundwert. Letzterer orientiert sich am Tagessatz – also dem mittleren Umsatz dividiert durch 360.
  • Dieser Wert wird multipliziert mit einem Faktor, der die Schwere der Tat widerspiegelt. Die Kategorien reichen von leicht und mittel über schwer bis sehr schwer, und es wird zwischen formellen und materiellen Verstößen unterschieden. Formelle Verstöße können beispielsweise vorliegen, wenn zwar einerseits die Vorschriften der DSGVO eingehalten werden, andererseits der Dokumentationspflicht der DSGVO jedoch nicht genüge getan wird.
  • Und schließlich anhand „täterbezogener und sonstiger noch nicht berücksichtigter Umstände“ angepasst. In diesem Zusammenhang dürfte vor allem die Kooperationsbereitschaft und Einsichtsfähigkeit der Unternehmen eine Rolle spielen. Denn es ist auffällig, dass die Bußgelder sehr unterschiedlich ausfallen. So kam das gehackte soziale Netzwerke Knuddels mit einem Bußgeld von 20.000 € sehr glimpflich davon, und es wurde von dem baden-württembergische Datenschutzbeauftragten sogar für seine Kooperation gelobt. Der Lieferdienst die Delivery Hero hingegen musste für eher kleinere Verstöße 200.000 € bezahlen, und aus der Pressemitteilung der Berliner Datenschutzbehörde ergibt sich, dass auch das unkooperative Verhalten des Unternehmens zu einem Bußgeld in dieser Höhe geführt hat.

Die Berliner Datenschutzbehörde möchte mit diesem Bußgeldverfahren auch eine abschreckende Wirkung erzielen. So gab die Berliner Datenschutzbeauftragte Frau Maja Smoltczyk allen Unternehmen folgenden Rat mit auf den Weg:

„Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft.“

Abschließend betont die DSK in ihrer Pressemitteilung, dass das Konzept weder für grenzüberschreitende Fälle noch für Datenschutzbehörden in anderen Ländern der EU bindend sei. Auch Gerichte sind bei der Festlegung der Bußgelder nicht daran gebunden. Insofern müssen die betroffenen Unternehmen natürlich nicht jedes Bußgeld akzeptieren. ____________________________________________________________________________________________________________________

Update 1

Nach Aussage der DSK in ihrer Pressemitteilung vom 17.09.2019 sei das Konzept zur Berechnung von Geldbußen noch nicht endgültig verabschiedet worden. Bei dem bekannt gewordenen Konzept handele es sich um einen Entwurf, das unter Berücksichtigung der Vorgehensweise andere EU-Staaten noch weiter fortentwickelt werde. Das deutsche Konzept werde zudem in die auf europäischer Ebene stattfindenden Harmonisierungsbemühungen eingebracht. Möglicherweise werde der deutsche Vorschlag auf dem nächsten Treffen der DSK am 6./7. November 2019 in Trier veröffentlicht.

Gleichzeitig hat die DSK aber zugestanden, dass der aktuelle Entwurf derzeit bereits bei laufenden Bußgeldverfahren herangezogen werde, um ihn auf seine „Praxistauglichkeit und Zielgenauigkeit“ zu testen.

Bereits im August hat die Berliner Datenschutzbeauftragte gegen den Lieferservice Delivery Hero ein Bußgeld in Höhe von knapp 200.000,00 € erlassen. Die stellt einen deutschen Rekord dar. Mit dem Bußgeld reagierte die Behörde auf diverse Verstöße gegen die Erfüllung datenschutzrechtlicher Pflichten:

  • Belästigende Werbemails: Acht ehemalige Delivery-Hero-Kunden hätten unerwünschte Werbe-E-Mails erhalten. Ein Kunde, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, hat weitere 15 Werbe-E-Mails von dem Lieferdienst erhalten.
  • Löschpflicht nicht nachgekommen: In zehn Fällen habe Delivery Hero Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen seit Jahren nicht mehr auf der Plattform des Unternehmens aktiv gewesen waren. Dies stelle einen Verstoß gegen den Zweckbindungsgrundsatz und die Pflicht zur Datenminimierung nach Art. 5 Absatz 1 c) DSGVO dar.
  • Das Recht auf Auskunft missachtet: Schließlich sei in weiteren fünf Fällen die Auskunftsersuchen nach Art. 15 DSGVO nicht ordnungsgemäß beantwortet worden

Funktionierendes Datenschutzmanagement unabdingbar

Unternehmen könnten sich, so die Berliner Landesdatenschutzbeauftragte Smoltczyk, bei einer hohen Anzahl von Verstößen nicht hinter technischen Fehlern und Mitarbeiterversehen verstecken, wenn von „grundsätzlichen, strukturellen Organisationsproblemen" auszugehen ist. In diesem konkreten Fall habe das Unternehmen mehrfach auf die Verstöße hingewiesen, es habe sich jedoch keine Besserung gezeigt. ____________________________________________________________________________________________________________________

DSGVO: Neues Modell zur Berechnung von Bußgeldern in Millionenhöhe

Die Datenschutzkonferenz DSK – der Zusammenschluss der deutschen Datenschutzbehörden – hat sich auf ein einheitliches Modell zur Berechnung von Bußgeldern bei Datenschutzverstößen verständigt. Dieses Modell berechnet sehr schematisch die Höhe der Geldbußen, die künftig für Datenschutzverstöße fällig werden können. Nach Ansicht der DSK gewährleiste das Modell eine systematische, transparente und nachvollziehbare Bußgeldbemessung.

Gleichzeitig hat das Modell aber auch das Potenzial, den seit Inkrafttreten der DSGVO immer wieder befürchteten Anstieg von Bußgeldern zu realisieren. So hat die Berliner Datenschutzbehörde bereits angekündigt, Bußgelder im zweistelligen Millionenbereich zu verhängen. Dies würde eine deutliche Verschärfung der Bußgeldpraxis bedeuten, denn bisher bewegen sich die in Deutschland ausgesprochener Bußgelder lediglich im 3- und 4-stelligen Bereich.

Bemessungsgrundlage

Grundlage der Bemessung der Bußgeldhöhe ist ein Tagessatz, der aus dem weltweiten Unternehmensumsatz des Vorjahres ermittelt wird. Unter dem weltweiten Unternehmensumsatz versteht die DSK nicht nur den Umsatz der betroffenen GmbH oder AG, sondern den der gesamten Unternehmensgruppe. Das ergibt sich aus ihrem „Kurzpapier Nr. 2 Aufsichtsbefugnisse/Sanktionen“.

Der Tagessatz wird mit einem Faktor multipliziert, der sich an der Schwere des Ausmaßes der Datenschutzverletzung orientiert. Der Schweregrad der Datenschutzverletzung wird mit einem Punktesystem ermittelt, das u. a. die Dauer des Verstoßes, die Zahl der betroffenen Personen und das Ausmaß des erlittenen Schadens einbezieht. Die Skala bewegt sich innerhalb der Faktoren 1 bis 14,4.

Weitere Faktoren

Berücksichtigt werden außerdem …

  • … der Verschuldensgrad: Bei geringer Fahrlässigkeit reduziert sich die Bußgeldhöhe um 25 %, bei Vorsatz oder Absicht erhöht sie sich um 25 % bis 50 %.
  • … die Anzahl der Datenschutzverstöße: Stand ein Unternehmen bereits wegen vergangener Datenschutzverstöße im Fokus der Aufsichtsbehörde und liegt erneut ein Verstoß gegen Datenschutzrecht vor, erhöht sich der vorgesehene Bußgeldrahmen um 50 %. Ab dem dritten Verstoß erhöht sich der Bußgeldrahmen um bis zu 300 %.
  • … wie sich die Zusammenarbeit des Unternehmens mit der Aufsichtsbehörde gestaltet und
  • … welche Maßnahmen das Unternehmen bereits umgesetzt hat, um das Ausmaß des Schadens zu begrenzen.

Was tun?

Es gilt: Vorsorge ist besser als Nachsorge. Unternehmen müssen sich ihren datenschutzrechtlichen Aufgaben stellen, um empfindliche Haftungsrisiken zu minimieren. Wie ein Blick über die Grenzen Deutschlands zeigt, haben andere EU-Mitgliedsstaaten bereits von dem Bußgeldrahmen, den die DSGVO ermöglicht, großzügig Gebrauch gemacht. In Frankreich wurde gegen Google ein Bußgeld in Höhe von 50 Millionen Euro verhängt. In Großbritannien verhängten die Aufsichtsbehörden gegen die Hotelkette Marriott ein Bußgeld in Höhe von 110 Millionen Euro und gegen die Fluglinie British Airways sogar eins in Höhe von 204 Millionen Euro. Die beiden zuletzt genannten Fälle sind zudem insofern bemerkenswert, als dass die bestraften Unternehmen von Hacker angegriffen wurden. Grund der auferlegten Bußgelder waren die unzureichenden Maßnahmen im Bereich der IT-Sicherheit. Die Opfer wurden also bestraft. Eine Übersicht aller in Europa verhängten Bußgelder finden Sie hier.

Nach der eingangs erwähnten Ankündigung der Berliner Datenschutzbehörde und dem neuen Modell der DSK ist nun auch in Deutschland mit einem empfindlichen Anstieg von Bußgeldern zu rechnen.

Ist ein Unternehmen bereits in den Fokus der Datenschutzbehörden gerückt, muss es abwägen, ob ein kooperatives Verhalten sinnvoll ist oder ob das Unternehmen sich gegen die Anordnungen der Datenschutzbehörde zur Wehr setzen möchte.

Ein Beitrag von