25.11.2019

Hohe Bußgelder bei Verstößen gegen DSGVO

Die Datenschutzbeauftragten der Länder haben seit Ende Mai vergangenen Jahres in mehr als 100 Fällen Bußgelder wegen Verstößen gegen die europäische Datenschutzgrundverordnung (DSGVO) verhängt. Deutschlands Behörden agieren bis jetzt im internationalen Vergleich moderat. Nach Presse-Recherchen sollen die Bußgelder eine Durchschnittshöhe von knapp 6.000 € gehabt haben. Nun wurde ein neues Bußgeldkonzept veröffentlicht, nach dem weit höhere Bußgelder drohen.

Aktuelle Praxis der Sanktionierung

Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind oder Daten von EU-Bürgern verarbeiten. Verstöße gegen die DSGVO können gem. Art. 83 DSGVO mit Bußgeldern von bis zu 20 Mio. € oder von bis zu 4% des weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres geahndet werden. Maßgeblich ist der höhere der beiden Werte. In Deutschland sind die verhängten Bußgelder vergleichsweise moderat. Dagegen wurde in Frankreich gegen Google ein Bußgeld von 50 Mio. € verhängt, in Großbritannien waren es 110 Mio. € gegen die Hotelkette Marriott und 204 Mio. € gegen die Fluglinie British Airways.

Neues Konzept und höhere Bußgelder

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 25.6.2019 auf ein neues Bußgeldkonzept zur Berechnung von Bußgeldern verständigt, was nun veröffentlicht wurde und zu mehr Transparenz, aber auch zu hohen Bußgeldern führen kann.


Nach diesem Konzept erfolgt die Bußgeldbemessung in Verfahren gegen Unternehmen in folgenden Schritten:

  • Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet.
  • Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
  • Dann wird ein wirtschaftlicher Grundwert ermittelt. Dieser Grundwert wird multipliziert mit einem Faktor, der abhängig vom Grad des Verstoßes ist (etwa Faktor 1 bis 4 bei einem leichten Verstoß), bis hin zu einem Faktor zwischen 12 bis 14,4 bei einem sehr schweren Verstoß.
  • Der ermittelte Wert wird anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst.

Bei der Anpassung sind mehrere Faktoren zu berücksichtigen. Handelt es sich um eine geringe oder unbewusste Fahrlässigkeit, vermindert sich die Summe um 25%. Bei normaler Fahrlässigkeit bleibt sie gleich, sie erhöht sich um 25 oder sogar 50% bei Vorsatz oder Absicht. Hat sich das Unternehmen bereits in der Vergangenheit bei der Behörde etwas zuschulden kommen lassen, schlägt sich das ebenfalls nieder: Ein erneuter Verstoß bringt einen Aufschlag von 50%, zwei einen Aufschlag von 150% und drei oder mehr Verstöße einen Aufschlag um 300%. Zu Buche schlagen außerdem weitere Faktoren, beispielsweise wie die Behörde die Zusammenarbeit mit ihr beurteilt oder auch der Umstand, welche Maßnahmen das Unternehmen bereits ergriffen hat, um den Schaden zu mindern


Hinweis: Die DSK sieht dieses Verfahren als geeignet an, eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung zu garantieren.

 

Empfehlung: Das aktuelle Bußgeldkonzept gilt nur für deutsche Behörden und auch nur solange, bis der Europäische Datenschutzausschuss diesbezügliche Leitlinien erstellt hat. Ferner entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte. Dennoch ist es aufgrund der möglichen Bußgelder in drakonischer Höhe dringend zu empfehlen, noch vorhandene Datenschutzlücken schnell zu schließen.

 

RA Ralf Lüdeke

Aus: PKF Nachrichten 12/2019