Bußgeldhöhe und Strafenkatalog für Datenschutzverstöße

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 14.10.2019 ein Konzept zur DSGVO Bußgeldhöhe vorgelegt. Nun wird endgültig klar, welcher Bußgeldkatalog bei welchen Verstößen auf gewerblich tätige Betriebe angewandt wird.

Wenn wir Auto fahren, verdrängen wir gern die Gefahren, die daraus resultieren und kleinere Verstöße rufen wir als Bagatelle aus, denn die Bußgelder z.B. für zu schnelles Fahren sind zwar auch empfindlich, aber noch bezahlbar. Bei Datenschutzverletzungen wusste man bisher, dass es Strafen gibt, doch nicht konkret welche.

Da die EU bisher keine DSGVO Bußgelder festgelegt hat, greift nun das Konzept zur Bußgeldbemessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) der Länder.

Die Möglichkeiten von Datenschutzverstößen sind immens

Website-Betreiber können – sei es durch Unwissenheit oder Fahrlässigkeit – eine Unzahl von DSGVO-Verstöße begehen. Und genau diese sollen in Zukunft mit Strafen geahndet werden.

Dabei sind die Datenschutzaufsichtsbehörden noch gar nicht forschend tätig, denn die ca. 600 Mitarbeiter in 16 Bundesländern müssen waschkorbweise Material zu Datenschutzverletzungen und Datenpannen sichten, prüfen und bewerten, die in erster Linie von Mitarbeitern und Kunden der beschuldigten Unternehmen eingereicht werden. Dieser Personenkreis weiß um die „Leichen im Keller“ oder um Datenpannen, die evtl. mehr oder minder fahrlässig ausgelöst werden.

Jede Firma, die über eine Website Geschäft generiert, tut gut daran, ihren Online-Auftritt und -Dienstleistungen nochmals zu prüfen.

Haben die Newsletter-Empfänger wirklich alle ihre Zustimmung mit Double-Opt-In gegeben? Ist das CRM-System tatsächlich rechtssicher? Geben die HTML-Banner nur die Klickrate an Dritte weiter oder werden auch personenbezogenen Daten weiter gegeben? Verstöße können in Zukunft nämlich mit empfindlichen Geldbußen belegt werden.

Weiterhin sehr bedenklich: Facebook! Der Datenskandal um Cambridge Analytica wurde mit der Rekordstrafe von 5 Mrd. Dollar belegt. Jeder Gewerbetreibende, der eine Facebook Fan-page betreibt, muss sich darüber im Klaren sein, dass Facebook Daten abschöpft, überträgt und verarbeitet. Auch hier gilt: Mit gefangen – mit gehangen!

Sind vor dem Gesetz alle gleich?

Der Föderalismus, der nach dem Krieg von den Siegermächten in Deutschland installiert wurde, hat auch Nachteile. So werden von einigen Datenschutzaufsichtsbehörden in manchen Ländern bei leichten Verstößen noch Rügen ohne Bußgeld verteilt, während beschuldigte Unternehmen bei nachgewiesenen Datenschutzverletzungen in anderen Ländern die ganze Härte der anwendbaren Geldbußen trifft.

In allen Bundesländern aber gilt: Wer in Zukunft auf Rügen nicht reagiert, an dem wird der Bußgeldkatalog vollzogen.

DSGVO Bußgeldhöhe

Entsprechend dem neuen Bußgeldkatalog werden die Strafen gemäß II. Bußgeldkatalog durch 5 Parameter beeinflusst. Danach wird

1. das jeweilige Unternehmen einer Größenklasse zugeordnet

2. der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt

3. ein wirtschaftlicher Grundwert ermittelt

4. aus der „Tatschwere“ ein Faktor ermittelt und mit dem Grundwert multipliziert

5. die Höhe des Bußgeldes „Täter bezogen“ angepasst, sofern es notwendig ist

Schon die Begrifflichkeiten signalisieren, dass die Zeiten, als Datenschutzmängel noch als Kavaliersdelikt angesehen wurden, vorbei sind. Aber eine transparente und Einzelfall gesteuerte Form der Bußgeldbemessung soll Gleichbehandlung ermöglichen – so eine Erklärung im Katalog des Bußgeldbemessungsverfahrens.

Beispielberechnung einer DSGVO-Bußgeldhöhe für kleinste Firmen

Annahme: „Täter“ ist ein sog. Kleinstunternehmen. Die Größeneinordnung der KMU orientiert sich hinsichtlich des Vorjahresumsatzes an der Empfehlung der Kommission vom 6. Mai 2003 (2003/361/EG). Danach sind Firmen mit einem Jahresumsatz bis 700.000 Euro der Gruppe A1 zuzuordnen. Danach wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, bestimmt (vgl. Tab. 2 im Katalog). Dieses dient der darauf aufbauenden Ermittlung des wirtschaftlichen Grundwertes (vgl. 3.).

Für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und so ein durchschnittlicher und aufgerundeter Tagessatz errechnet.

Dem Jahresumsatz von z.B. 350.000 Euro wird ein Grundwert von 972 Euro zugeordnet. Danach erfolgt gem. Punkt 4 anhand der konkreten Tat bezogenen Umstände des Einzelfalls (vgl. Art. 83 Abs. 2 Satz 2 DSGVO) eine Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer; und zwar

  • mit einem Multiplikationsfaktor bei leichten bis sehr schweren Verstößen von 1 bis 6 für formelle Verstöße (gem. Art. 83 Abs. 4 DSGVO)

und

  • mit einem Multiplikationsfaktor von 1 bis 12 für materielle Verstöße (gem. § 83 Abs. 5, 6).

Man kann also errechnen, dass falsche Datenschutzausweisungen bei Kleinstfirmen (Jahresumsatz < 350.000 Euro) bei einem leichten, formellen Verstoß (Faktor 1 x 972 Euro) also 972 Euro kosten können, während der unautorisierte Versand eines Newsletters mit vielen „Geschädigten“ bei einem schweren Fall und einem materiellen Schaden 7.776 Euro kosten könnte, da hier mindestens der Multiplikator 8 bei einem Grundwert von 972 Euro anzusetzen ist.

Beispielberechnung einer DSGVO-Bußgeldhöhe für kleine Firmen ab 2 Mio. Euro Jahresumsatz

Nach demselben Muster errechnen sich auch die Bußgelder von kleinen Firmen (Jahresumsatz zwischen 2 Mio. und 10 Mio. Euro). Bei Datenverstößen und Jahresumsätzen ab 3,5 Mio. Euro muss mit Bußgeldern ab 9.722 Euro (leichter formeller Schaden, Faktor 1) bis 291.672 Euro (schwerster materieller Schaden, Faktor 12) gerechnet werden.

Gnade bei drohender Zahlungsunfähigkeit

Die Beträge können bei einer drohenden Insolvenz des Unternehmens individuell angepasst werden, wenn alle für und gegen den Betroffenen sprechenden Umstände dafür sprechen.

Jeder Unternehmer muss seine Organisation, Prozesse und insbes. seine Website auf den Prüfstand stellen und mögliche Schadens- und Anklageszenerien durchspielen. Dabei ist u.a. zu prüfen, ob alle Nachweise geführt werden können wie z.B. das Vorliegen von AV-Vereinba-rungen mit Auftragsverarbeitern, Datennachweise und Log-Ins von Newsletter-Empfängern mit Datum in entsprechend sicheren Datenbank-Systemen. Denn genau solche Nachweise müssen auf Nachfrage der Datenschutzaufsichtsbehörden erbracht werden können.

Quelle: Hotelier.de, Buxtehude

Link: www.hotelier.de/lieferanten/recht/dsgvo-bussgeld-hoehe-und-strafen-katalog-veroeffentlicht

18.11.2019