Mit Inkrafttreten der DSGVO hat sich die Wahrnehmung des Datenschutzes grundlegend verändert. Unternehmen schenken den gesetzlichen Datenschutzbestimmungen deutlich mehr Aufmerksamkeit – nicht zuletzt, weil höhere Bußgelder drohen. Mit deren Berechnung möchten wir uns im heutigen Beitrag befassen.
Wie erfolgt die Bußgeldberechnung bei einer Datenschutzverletzung?
Kein Unternehmen möchte mit einer Geldstrafe geahndet werden. Deshalb besteht in Führungsetagen ein Interesse an der Bußgeldberechnung. Entscheider möchten wissen, auf welche Höhe sich ein Bußgeld aufgrund einer Datenschutzverletzung im Ernstfall belaufen könnte.
Die Benennung fester Bußgeldbeträge in Verbindung mit ausgewählten Datenschutzverstößen ist nicht möglich. Denn eine der entscheidenden gesetzlichen Neuerungen, die mit dem Inkrafttreten der DSGVO einhergegangen sind, ist die individuelle Festsetzung von Bußgeldern. Es existiert keine Deckelung mehr, Strafen sollen schmerzen und damit eine abschreckende Wirkung erzielen.
Ein festes Schema zu Berechnung der Bußgeldhöhe (z.B. anhand eines Bußgeldkatalogs) gibt die DSGVO nicht vor, sie stellt lediglich das zugehörige Rahmenwerk bereit. Darüber, wie die Festsetzung in Deutschland erfolgt, hat sich im Juni 2019 die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) verständigt. Das damit einhergehende Berechnungsmodell erläutern wir nachfolgend.
Einflussgrößen der Bußgeld-Berechnung auf einen Blick
- Der Jahresumsatz bildet die Berechnungsgrundlage, aus ihm wird ein Tagessatz abgeleitet. Von der Aufsichtsbehörde, die den Bußgeldbescheid festsetzt, darf der Umsatz der gesamten Organisation herangezogen werden. D.h. wenn eine Konzerntochter den Datenschutzverstoß begeht, kann die Berechnung des Bußgeldes auf Basis des gesamten Konzernumsatzes erfolgen.
- Von entscheidender Relevanz ist der eigentliche Datenschutzverstoß. Er wird mit einem Schweregrad bewertet, der bei der Bußgeldberechnung als Multiplikator dient. Leichte Verstöße werden mit einem niedrigen Faktor bewertet, schwere Verstöße mit einem hohen Faktor. Die Spannweite des Faktors reicht über die Werte 1,0 bis 14,4. Damit ist die Hebelwirkung, die sich aus der Schwere eines Verstoßes ergeben kann, ganz enorm.
- Nächster Faktor ist der Grad des Verschuldens. Sollten die Verantwortlichen unbewusst fahrlässig oder nur gering fahrlässig gehandelt haben, ist eine Abmilderung des Bußgeldbetrags möglich. Bei normaler Fahrlässigkeit bleibt das Bußgeld unverändert, wohingegen es bei grobfahrlässigem Handeln oder einem vorsätzlichen Verstoß um bis zu 50 Prozent erhöht werden kann.
- Außerdem berücksichtigen die Datenschutzbehörden bei der Berechnung von Bußgeldern, ob eine Wiederholung vorliegt. Erneute Datenschutzverletzungen führen zu einer Erhöhung des Bußgeldes, die bei der ersten Wiederholungstag satte 50 Prozent beträgt. Bei häufigeren Wiederholungen ist eine Verfielfachung des Bußgeldes möglich.
Dies sind die wesentlichen Einflussgrößen, die über die Bußgeldhöhe entscheiden. Daneben existieren weitere Faktoren, welche die zuständige Datenschutzbehörde berücksichtigen kann. Hierzu zählt insbesondere wie gut das Unternehmen mit der Behörde zusammenarbeitet und welches Engagement es zeigt, um den Verstoß zu beheben.
Fazit
Seitdem die DSGVO in Kraft getreten ist, müssen Unternehmen mit der Ahndung von Datenschutzverstößen in Form von Bußgeldern rechnen. Geldstrafen für Datenschutzverletzungen können stattlich bemessen sein, weshalb es umso entscheidender ist, gar nicht erst Risiken einzugehen.
Den besten Schutz vor Datenschutzverstößen verspricht ein Datenschutzkonzept, das auf ein Unternehmen individuell zugeschnitten ist. Wir entwickeln maßgeschneiderte Datenschutzlösungen und führen Datenschutzaudits durch – gerne auch für Ihr Unternehmen. Sie möchten mehr erfahren? Sie erreichen uns telefonisch unter 0800 – 5600831 sowie über unser Kontaktformular.