Datenschutz

DSGVO-Verstoß? Das kann teuer werden!

author bild

Stephan Sägmüller

Der Jurist Stephan Sägmüller ist beim ifb u.a. zuständig für das Thema Datenschutz.

Rechtsgrundlage für die Verhängung von Geldbußen bei Verstößen gegen den Datenschutz ist Art. 83 DSGVO (Datenschutzgrundverordnung). Dort heißt es in Absatz 1: „Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen […] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Viel Raum für Spekulationen

Liest man diese Formulierung, kann man zunächst den Eindruck gewinnen, dass die Strafen eher Pi mal Daumen ermittelt werden als anhand von bestimmten Kriterien. Auch beim Blick in die weiteren Vorschriften wird es nur wenig konkret: Bei Verstößen gegen die Grundsätze der Verarbeitung oder gegen Rechte betroffener Personen droht ein Bußgeld in Höhe von 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für weniger schwerwiegende Verstöße bemisst der Rahmen 10 Millionen Euro bzw. 2 % des Jahresumsatzes.

Ein Konzept zur Bußgeldbemessung soll für eine größere Transparenz sorgen .

Die Spannweite von drohenden Bußgeldern wird damit zwar auf Höchstsummen begrenzt, bietet aber immer noch viel Raum für Spekulationen und schafft damit eine große Rechtsunsicherheit. Vor einigen Monaten entwickelten die Aufsichtsbehörden daher ein Konzept zur Bußgeldbemessung, das für eine größere Transparenz sorgen soll.

Vier Schritte bis zum Bußgeld

Nach diesem Konzept wird ein zu verhängendes Bußgeld in vier wesentlichen Schritten ermittelt:

1. Festlegung der Höhe des Tagessatzes

Um den sogenannten Tagessatz zu ermitteln, wird der weltweit erzielte Umsatz des Unternehmens durch 365 Tage dividiert.

2. Ermittlung der Schwere des Verstoßes bzw. des Schweregrades

Je nach Schwere des Verstoßes verringert oder vergrößert sich die Basissumme um einen bestimmten Faktor. In die Beurteilung fließen insbesondere Kriterien wie die Dauer des Verstoßes, die Anzahl der betroffenen Personen, das Schadensausmaß oder auch eine spätere Schadensminimierung sowie eine Zusammenarbeit mit der Aufsichtsbehörde ein.

Die Basissumme wird dann multipliziert mit einem Faktor

·       von 1 bis 4 bei einem leichten Verstoß,

·       4 bis 7 bei einem mittleren,

·       8 bis 11 bei einem schweren oder

·       12 bis 14,4 bei einem sehr schweren Verstoß.

Ein sehr schwerer Verstoß kann vorliegen, wenn Mitarbeiter unerlaubt überwacht werden.

Beispiele: Ein leichter Verstoß kann z. B. bei einem unerlaubten Versand von Werbemails vorliegen. Von einem mittleren Verstoß ist u.a. auszugehen, wenn keine Datenschutzerklärung für eine Website existiert. Ein schwerer oder sogar sehr schwerer Verstoß kann vorliegen, wenn Mitarbeiter unerlaubt überwacht werden bzw. unerlaubter Handel mit sensiblen Daten betrieben wird.

3. Ermittlung des Verschuldensgrades

Bei diesem Schritt der Bußgeldbemessung ist eine Erhöhung oder Minderung der Bußgeldsumme aufgrund des Verschuldensgrades möglich. Die Anpassung erfolgt in Prozentschritten, die Spanne beträgt zwischen minus 25 % und plus 50 %. So können von der Bußgeldsumme z.B. 25 % abgezogen werden, wenn die Datenschutzverletzung erst bei genauerer Betrachtung erkennbar wurde (geringe Fahrlässigkeit). Die Summe bleibt gleich, wenn der Verstoß bei näherer Kontrolle erkennbar gewesen wäre (normale Fahrlässigkeit). Und sie erhöht sich, wenn der Verstoß offensichtlich oder dem Verantwortlichen sogar bekannt war (Vorsatz bzw. Absicht). Die Abgrenzung der Verschuldensgrade ist nicht immer einfach, sondern kann nur durch eine detaillierte Gesamtschau aller vorliegenden Umstände ermittelt werden.

4. Erhöhung bei Wiederholung

Schließlich wird in einem letzten Schritt noch ein eventueller Wiederholungszuschlag berücksichtigt. Das heißt, es kann zu einer prozentualen Anrechnung bisheriger Datenschutzverstöße kommen. Bei einer einmaligen Wiederholung können z.B. 50%, bei einer mehrmaligen sogar bis zu 300 % hinzukommen. Ein erstmaliger Verstoß ist für den Verantwortlichen also regelmäßig günstiger als ein zweiter oder gar dritter Verstoß gegen den Datenschutz.

Ein Stück Willkür bleibt also bestehen.

Wirksam, verhältnismäßig und abschreckend

Wichtig: Wie eingangs bereits erwähnt, sollen Bußgelder nach § 83 DSGVO „wirksam, verhältnismäßig und abschreckend“ sein. Das bedeutet, dass es in Einzelfällen auch zu einer Anpassung bzw. Erhöhung des Bußgeldes kommen kann – nämlich dann, wenn die Behörde der Meinung ist, dass ein nach den vier Kriterien errechnetes Bußgeld z.B. zu gering ist.Ein Stück Willkür bleibt also bestehen. Für die Verantwortlichen ist die Bußgeldfrage nun aber dennoch deutlich transparenter. Schließlich ist es gut zu wissen, wie sich ein Bußgeld im Einzelfall zusammensetzt.

Aus 9,55 Millionen werden 900.000 €

Selbstverständlich haben Unternehmen darüber hinaus auch weiterhin die Möglichkeit, ein Bußgeld vor Gericht überprüfen zu lassen. Wie eine aktuelle Entscheidung des Landgerichts Bonn zeigt (Urteil vom 11.11.2020, Az.: 29 OWi 1/20), muss ein Bußgeldbescheid auch nicht immer das letzte Wort in einer Sache sein: Das Gericht erklärte ein verhängtes Bußgeld gegen die 1&1 Telecom GmbH zwar für rechtmäßig, verminderte die Bußgeldsumme jedoch von ursprünglich 9,55 Millionen Euro auf 900.000 Euro. Eine Überprüfung vor Gericht kann sich also durchaus lohnen.

Mehr zur Entscheidung des LG Bonn:

DSGVO: Bußgeld um mehrere Millionen Euro zu hoch

Keine Bagatelldelikte

Unabhängig von dieser Entscheidung sollte aber jedem klar sein: Datenschutzverstöße sind keine Bagatelldelikte, sondern sie können ganz schnell sehr teuer werden. Es gilt deshalb, frühzeitig tätig zu werden, bestehende Prozesse auf den Prüfstand zu stellen, Mitarbeiter zu schulen, und für eine entsprechende Sensibilisierung in den Abteilungen zu sorgen. Nur so lässt sich Rechtssicherheit im Datenschutz wirklich gewinnen: Nämlich dann, wenn es gar nicht erst zu einer Verhängung von Bußgeldern kommt.

Tipp - Video zum Thema:


Kontakt zur Redaktion

Haben Sie Fragen oder Anregungen? Wenden Sie sich gerne direkt an unsere Redaktion. Wir freuen uns über konstruktives Feedback!

redaktion-dbr@ifb.de

Email

Zurück zur Übersichtsseite