mexxon

mexxon

  • Startseite
  • Services
    • Data Services
    • Consulting Services
    • Quality Services
  • Branchen
    • Versicherungen
    • Banken
    • Telekommunikation
    • Wohnungs- & Energiebranche
    • Gesundheitswesen
    • Forderungsmanagement
  • Karriere
    • Deine Karriere bei mexxon
    • Stellenanzeigen
  • Über uns
    • Unternehmensprofil
    • Publikationen
    • Mitgliedschaften
    • Soziales Engagement
    • Impressum
    • Datenschutz
  • Kontakt
  • Blog
    • Blog
  • MaklerRadar
    • MaklerRadar
    • Erstinformation MaklerRadar
  • DentRadar
    • DentRadar
    • Erstinformation DentRadar
  • Home
  • Allgemein
  • Bußgelder im Datenschutz – Wie teuer ist ein fehlender Cookie-Banner?
Henrik Riedel
Dienstag, 07 September 2021 / Veröffentlicht in Allgemein

Bußgelder im Datenschutz – Wie teuer ist ein fehlender Cookie-Banner?

In einem unserer vorherigen Blogbeiträge haben wir uns anlässlich des dritten Geburtstags der DSGVO mit den hierbei fixierten und verhängten Bußgeldern beschäftigt.

In diesem Beitrag wollen wir uns mit dem Berechnungsmodell zur Ermittlung von Bußgeldern wegen Datenschutzverstößen beschäftigen. Die Datenschutzkonferenz (DSK) hatte dazu ein verbindliches „Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen“ für die Aufsichtsbehörden vorgelegt.

Was ist die DSK?

Die DSK ist ein Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie besteht aus dem Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der Länder und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht. Das Gremium befasst sich in Deutschland mit Fragen des Datenschutzes und nimmt dazu Stellung.

 

Wie erfolgt die Bestimmung der Höhe von Bußgeldern?

Bei ihrem Berechnungsmodell stellt die DSK den Umsatz des betroffenen Unternehmens ins Zentrum der Ermittlung. Der Umsatz eines Unternehmens wird als „eine geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung“ angesehen.

Das DSK-Konzept beschreibt die Feststellung der Höhe von Bußgeldern in fünf Schritten. Diese haben wir für Sie knapp zusammengefasst:

1. Schritt: Das Unternehmen wird anhand seines Vorjahresumsatzes in eine von vier Größenklassen (A bis D) und deren jeweilige Untergruppen eingeordnet (Tabelle 1):

Quelle: Datenschutzkonferenz

 

2. Schritt: Anschließend wird der mittlere Vorjahresjahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (Tabelle 2:)

Quelle: Datenschutzkonferenz

3. Schritt: Aufbauend auf Schritt 2 wird der wirtschaftliche Grundwert ermittelt. Für dessen Festsetzung wird der mittlere Jahresumsatz (der Untergruppe) durch 360 Tage geteilt und so ein durchschnittlicher Tagessatz errechnet (Tabelle 3):

Quelle: Datenschutzkonferenz

4. Schritt: Es erfolgt die Multiplikation des ermittelten Grundwerts nach Schweregrad der Tat. Anhand der konkreten tatbezogenen Umstände des Einzelfalls (vgl. Art. 83 Abs. 2 Satz 2 DS-GVO) kommt es zu einer Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer (Tabelle 4):

Quelle: Datenschutzkonferenz

5. Schritt: Abschließend wird der Grundwert anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände angepasst. Insbesondere täterbezogene Umstände fallen hierbei ins Gewicht.

 

Und was bedeutet das nun genau?

Laut dem Statistischen Bundesamt gehören fast alle Unternehmen in Deutschland zu den kleinen und mittleren Unternehmen (KMU); kleine Unternehmen haben in der Regel bis € 10 Millionen und mittlere Unternehmen bis € 50 Millionen Umsatz.

In unserem Beispiel würde folglich für ein mittleres Unternehmen (Schritt 1: Größenklasse C und Untergruppe: C.III) ein mittlerer Vorjahresjahresumsatz von € 17,5 Millionen (Schritt 2) ermittelt. Der wirtschaftliche Grundwert (Tagessatz) aus Schritt 3 betrüge dann € 48.611.

Typische Datenschutzthemen in Unternehmen sind fehlende oder falsche Einwilligungen oder Cookie-Banner und ungenügende Datenlöschung. Dies sind in der Regel materielle Verstöße gemäß § 83 Abs. 5 DSGVO.

Auch wenn diese nur als „leicht“ (Schritt 4) eingestuft werden, wird der oben angeführte Tagessatz beispielhaft schon mit 4 multipliziert, was zu einem Bußgeld von € 194.444 (= 4 x € 48,611) führen würde.

Dieser Betrag wäre sicherlich in einem Datenschutz-Audit-Projekt zur Prüfung und Anpassung der aktuellen Datenschutzsituation im Unternehmen besser investiert.

 

Autor:in

  • Henrik Riedel
    Henrik Riedel

    Henrik Riedel war als Senior Consultant im Bereich IT-Consulting bei mexxon tätig. Henrik Riedel ist Berater für Datenschutz, IT-Security, Prozess- und Projektmanagement mit langjährigen Erfahrungen in verschiedenen Branchen: Banken, Versicherungen, Beauty, Konsumgüter, Immobilien, Inkasso. Er ist zertifiziert durch TÜV, IHK, Prince2 und ibo.

    Alle Beiträge ansehen

  • Tweet

What you can read next

Psychologie des Kunden
Die Psychologie des Kunden
Methoden der Datenbewertung und wann sie am besten zum Einsatz kommen
Datenschutz – DSGVO 3 Jahre nach GoLive

Kontakt

+49 6172 271 598 0
info@mexxon.com

mexxon consulting GmbH & Co. KG
mexxon kidaton GmbH

Frankfurter Landstraße 23
61352 Bad Homburg v. d. Höhe

Google Maps

Mit dem Laden der Karte akzeptieren Sie die Datenschutzerklärung von Google.
Mehr erfahren

Karte laden

Services

  • Startseite
  • Kontakt
  • Datenschutz
  • Impressum

mexxon entwickelt innovative Lösungen und unterstützt Sie vor Ort bis in den Praxisalltag. Nicht nur mit Rat, sondern auch mit Tat.

OBEN