In einem unserer vorherigen Blogbeiträge haben wir uns anlässlich des dritten Geburtstags der DSGVO mit den hierbei fixierten und verhängten Bußgeldern beschäftigt.
In diesem Beitrag wollen wir uns mit dem Berechnungsmodell zur Ermittlung von Bußgeldern wegen Datenschutzverstößen beschäftigen. Die Datenschutzkonferenz (DSK) hatte dazu ein verbindliches „Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen“ für die Aufsichtsbehörden vorgelegt.
Was ist die DSK?
Die DSK ist ein Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie besteht aus dem Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der Länder und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht. Das Gremium befasst sich in Deutschland mit Fragen des Datenschutzes und nimmt dazu Stellung.
Wie erfolgt die Bestimmung der Höhe von Bußgeldern?
Bei ihrem Berechnungsmodell stellt die DSK den Umsatz des betroffenen Unternehmens ins Zentrum der Ermittlung. Der Umsatz eines Unternehmens wird als „eine geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung“ angesehen.
Das DSK-Konzept beschreibt die Feststellung der Höhe von Bußgeldern in fünf Schritten. Diese haben wir für Sie knapp zusammengefasst:
1. Schritt: Das Unternehmen wird anhand seines Vorjahresumsatzes in eine von vier Größenklassen (A bis D) und deren jeweilige Untergruppen eingeordnet (Tabelle 1):
2. Schritt: Anschließend wird der mittlere Vorjahresjahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (Tabelle 2:)
3. Schritt: Aufbauend auf Schritt 2 wird der wirtschaftliche Grundwert ermittelt. Für dessen Festsetzung wird der mittlere Jahresumsatz (der Untergruppe) durch 360 Tage geteilt und so ein durchschnittlicher Tagessatz errechnet (Tabelle 3):
4. Schritt: Es erfolgt die Multiplikation des ermittelten Grundwerts nach Schweregrad der Tat. Anhand der konkreten tatbezogenen Umstände des Einzelfalls (vgl. Art. 83 Abs. 2 Satz 2 DS-GVO) kommt es zu einer Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer (Tabelle 4):
5. Schritt: Abschließend wird der Grundwert anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände angepasst. Insbesondere täterbezogene Umstände fallen hierbei ins Gewicht.
Und was bedeutet das nun genau?
Laut dem Statistischen Bundesamt gehören fast alle Unternehmen in Deutschland zu den kleinen und mittleren Unternehmen (KMU); kleine Unternehmen haben in der Regel bis € 10 Millionen und mittlere Unternehmen bis € 50 Millionen Umsatz.
In unserem Beispiel würde folglich für ein mittleres Unternehmen (Schritt 1: Größenklasse C und Untergruppe: C.III) ein mittlerer Vorjahresjahresumsatz von € 17,5 Millionen (Schritt 2) ermittelt. Der wirtschaftliche Grundwert (Tagessatz) aus Schritt 3 betrüge dann € 48.611.
Typische Datenschutzthemen in Unternehmen sind fehlende oder falsche Einwilligungen oder Cookie-Banner und ungenügende Datenlöschung. Dies sind in der Regel materielle Verstöße gemäß § 83 Abs. 5 DSGVO.
Auch wenn diese nur als „leicht“ (Schritt 4) eingestuft werden, wird der oben angeführte Tagessatz beispielhaft schon mit 4 multipliziert, was zu einem Bußgeld von € 194.444 (= 4 x € 48,611) führen würde.
Dieser Betrag wäre sicherlich in einem Datenschutz-Audit-Projekt zur Prüfung und Anpassung der aktuellen Datenschutzsituation im Unternehmen besser investiert.