Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat bei der jüngsten Tagung des Europäischen Datenschutzausschusses (EDSA) ein Berechnungsmodell für DSGVO-Bußgelder eingebracht. Es wird zu wesentlich höheren Sanktionen führen und könnte Vorbild für die irgendwann von EDSA zu erlassende europäische Regelung werden. Bis dahin gilt es einheitlich für alle 16 deutschen Datenschutzbehörden.
Die Zeit, in der fast nur Bagatellbußgelder verhängt wurden, geht damit unwiderruflich zu Ende. Denn die Berechnung der Bußgeldzumessung setzt am Umsatz an. Mit einem Blick in die veröffentlichten Tabellen kann jetzt jedes Unternehmen abschätzen, was ein Datenverstoß konkret kosten kann.
- Das verantwortliche Unternehmen wird nach seinem weltweiten Jahresumsatz des vorangegangen Geschäftsjahres in vier Größenklassen eingeordnet: A = Kleinstunternehmen 700.000 bis 2 Millionen Euro, B = Kleinunternehmen über 2 Mio. bis 10 Mio. Euro, C = Mittlere Unternehmen über 10 bis 50 Mio. Euro, D = Großunternehmen über 50 Mio Euro. Diese Größenklassen sind nochmals in Untergruppen unterteilt (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII), um die Einordnung zu verfeinern.
- Die Strafzumessung geht vom mittleren Jahresumsatz aller Unternehmen der betreffenden Größenklasse aus. Die derzeit gültige Tabelle weist für Kleinstunternehmen 350.000 Euro aus und reicht bis 450 Millionen Euro – für die größten Unternehmen (Größenklasse D.VII) wird vom realen Umsatz ausgegangen.
- Daraus errechnet die Behörde einen „Tagessatz“, indem sie den mittleren Vorjahresumsatz der Unternehmensgruppe durch 360 dividiert. Er liegt bei Kleinstunternehmen derzeit bei 972 Euro. Bei den größten Großunternehmen geht es um einen „konkreten Tagessatz“, d.h. hier wird der tatsächliche Umsatz durch 360 geteilt.
- Der Verstoß wird einem „Schweregrad“ zugeordnet: leicht, mittel, schwer oder sehr schwer. Entsprechend wird der Tagessatz mit einem Faktor zwischen 1 und 12< multipliziert. Wie es zu den einzelnen Faktoren kommt, wird nicht ausgeführt. Bei eher formalen Verstößen wie fehlenden Angaben in Verträgen reicht der Multiplikationsfaktor bis 6, bei materiellen Verstößen etwa gegen die Rechtmäßigkeit einer Datenverarbeitung kann er den Faktor 12 auch überschreiten.
- Der so errechnete Betrag wird entsprechend allen aller bisher nicht berücksichtigten Umständen des Einzelfalls überprüft. Hierzu geht es um täterbezogene Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO), aber auch um „sonstige Umstände“ – so ist beispielsweise zu berücksichtigen, ob das Unternehmen durch eine Geldbuße in der Gefahr ist, zahlungsunfähig zu werden.
Allen Bußgeldbescheiden liegt ein Berechnungsbogen bei, der anhand konkreter Zahlen darüber Aufschluss gibt, wie die Berechnung vorgenommen wurde.
Künftig werden Bußgelder nach DSGVO deutlich höher ausfallen. Für Unternehmen und Konzerne mit hohen Umsätzen wird der Berechnungsmodus ernste Bußgeldrisiken mit sich bringen, denn offenbar steht der Abschreckungsgedanke im Vordergrund. Das bedeutet aber auch, dass voraussichtlich Gerichte klären müssen, ob die nach einem neuen Bußgeldmodell verhängten hohen Sanktionen noch verhältnismäßig im Sinne von Art. 83 Abs. 1 DSGVO sind.