DSGVO-Bußgeld: Berechnung nach neuem Modell

Geschrieben von Alexander Hönsch, veröffentlicht am 02.10.2019

Die Landesbehörden für Datenschutzaufsicht werden Bußgelder nun nach einem neuen Modell berechen. Wie dieses aussieht, erfahren Sie in diesem Beitrag.

Bislang blieben deutsche Unternehmen und Vereine bei Sanktionen aufgrund von Datenschutzverstößen im weltweiten Vergleich weitestgehend verschont. Denn auf Anfrage des Nachrichtendienstes WELT wurden bis zum 12.05.2019 infolge von Verstößen gegen die DSGVO bundesweit Bußgelder in Höhe von insgesamt 485.000 Euro verhängt. Zum Vergleich: Die „Federal Trade Commission“ (FTC) hat in den USA allein Facebook wegen Datenschutzverstößen zu einer Strafe von fünf Milliarden Dollar verurteilt. Solche hohe Summen könnten aber auch bald in Deutschland Realität werden, denn Ende Juni fand die „Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ statt, bei dem ein neues Rechenmodell zur Bußgeldberechnung diskutiert und beraten wurde.

Rechtliche Grundlagen

Kapitel VIII der DSGVO regelt die Rechtsbehelfe, Haftung und Sanktionen bei Verstößen gegen den Schutz personenbezogener Daten. Der sich in diesem Kapitel befindlichen Art. 83 DSGVO besagt, dass Geldbußen im Einzelfall wirksam, verhältnismäßig und abschreckend zu gestalten sind. Im zweiten Absatz dieses Artikels werden katalogartig die Bußgeldzumessungsregeln aufgeführt, wonach die Datenschutzexperten das Konzept und schließlich auch das neue Bußgeldmodell ausgearbeitet haben.

Das neue Rechenmodell

Da die neue Formel durchaus komplex ist, wird die Berechnung aus praktischen Gründen im Folgenden vereinfacht dargestellt. Danach ist die Berechnungsgrundlage des neuen Bußgeldmodells der weltweite Umsatz des Vorjahres des Unternehmens, woraus sich zunächst der Tagessatz ergibt (Umsatz / 360). Dieser Wert wird dann mit einem Faktor multipliziert, der je nach Schwere der Tat und der Art ihrer Begehung ermittelt und festgelegt wird. Maßgeblich für den zu ermittelnden Wert ist die Anzahl der betroffenen Personen, die Dauer des Verstoßes, Art, Umfang und Zweck der betreffenden rechtswidrigen Verarbeitung und die Reichweite des dadurch entstandenen Schadens. Zudem wird der Verschuldungsgrad prozentual errechnet: geringe oder unbewusste Fahrlässigkeit vermindert die Summe um 25 Prozent. Bei normaler Fahrlässigkeit bleibt die Summe gleich. Bei Vorsatz oder Absicht erhöht sich die Summe um 25 oder 50 Prozent. Handelt es sich um einen „Widerholungstäter“, ist mit einem Aufschlag von 50 Prozent, beim zweiten Mal einen Aufschlag von 150 Prozent und bei drei oder mehr Verstöße einen Aufschlag um 300 Prozent zu rechnen.

Ausblick

Die französische Aufsichtsbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) hat bereits gegen Google eine Strafe in Höhe von 50 Millionen Euro aufgrund mangelnder Transparenz verhängt; und die Kollegen der „Information Commissioner’s Office“ (ICO) in Großbritannien haben im Juli gegen die Fluglinie British Airways ein Bußgeld in Höhe von 204 Millionen Euro verhängt, nachdem Datensätze von Kunden inklusive Kreditkartennummern gestohlen wurden. Mit dem neuen Rechenmodell könnten zweistellige Millionenbeträge auch bald in Deutschland verhängt werden. Vorteilhaft ist, dass die Berechnung der Höhe des Bußgeldes nun transparenter und nachvollziehbarer erfolgen wird.

Übrigens: Aufsichtsbehörden können zusätzlich oder anstelle von hohen Geldstrafen auch ein endgültiges Verbot der Datenverarbeitung anordnen, Art. 58 Abs. 2 lit. f) DSGVO.