Datenschutzaufsichtsbehörden legen Konzept zur Bußgeldzumessung vor

Bußgeldzumessung

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben Mitte Oktober 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vorgelegt, die gegen die europäische Datenschutz-Grundverordnung DSGVO verstoßen haben. Ziel des Konzeptes ist es laut einer Pressemitteilung der Deutschen Datenschutzkonferenz vom 16. Oktober 2019, „den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“ Das Konzept richtet sich ausschließlich an Unternehmen, nicht aber an Vereine oder Private.

Bußgeld richtet sich nach Unternehmensumsatz

Die Bußgeldzumessung bei DSGVO-Verstößen ist mit dem neuen Konzept an den Umsatz eines Unternehmens geknüpft. Darin kommt der „Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen“, zum Ausdruck.

Das Konzept sieht die Bußgeldzumessung in fünf Schritten vor:

  1. Zuordnung des Unternehmens zu einer Größenklasse nach weltweit erzieltem Vorjahresumsatz
    • Kleinstunternehmen mit maximal 2 Mio. Euro Jahresumsatz
    • Kleine Unternehmen (Umsatz zwischen 2 und 10 Mio. Euro)
    • Mittlere Unternehmen (Umsatz zwischen 10 und 50 Mio. Euro)
    • Großunternehmen mit einem Umsatz größer 50 Mio. Euro
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung eines wirtschaftlichen Grundwertes
  4. Multiplikation des Grundwertes mit einem Faktor, der von der Schwere der Tatumstände abhängt:
    Hier spielen Art und Dauer des Verstoßes, Zahl der betroffenen Personen und das Schadensausmaß eine Rolle.
  5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände.

Das neue Bußgeldkonzept gilt ausschließlich für deutsche Aufsichtsbehörden und zwar solange, bis es endgültige Leitlinie des Europäischen Datenschutzausschuss gibt. Wie die Berechnung konkret erfolgt, lesen Sie hier in einer Information der Datenschutzkonferenz.

Aktuelle Bußgeldverfahren

Nachdem die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten der DSGVO im Mai 2018 ausgeblieben war, greifen die Aufsichtsbehörden beim Thema Datenschutz in jüngster Zeit offenbar stärker durch. Gegen die Delivery Hero Germany GmbH hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk das bislang höchste Bußgeld in Deutschland über 195.407 Euro verhängt. „Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch“, schrieb die Berliner Datenschützerin in einer Presserklärung vom 19.9.2019. Dort hieß es weiter: „Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DSGVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.“

Konsequenzen für Unternehmen

Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DSGVO wirkt dem entgegen. „Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten“, sagte Maja Smoltczyk.

Wer mit personenbezogenen Daten arbeite, brauche ein funktionierendes Datenschutzmanagement. Das helfe nicht nur, Bußgelder zu vermeiden, sondern stärke auch das Vertrauen und die Zufriedenheit der Kundschaft.

In Berlin beispielsweise gibt es zweimal im Monat Start-up-Sprechstunden für Unternehmen in der Gründungsphase, in denen sie Fragen zum Datenschutz klären können. Auch SAT unterstützt Unternehmen mit Kooperationspartnern bei der Umsetzung der EU-Vorschriften zu Datenschutz und Datenverarbeitung. Suchen Sie einen externen Datenschutzbeauftragten, können Sie sich gerne für ein erstes unverbindliches Gespräch an das SAT-Team wenden.