In anderen EU-Ländern verhängen die Behörden bereits empfindliche Strafen: Britische Datenschützer fordern von der Hotelkette Marriot 110 Millionen Euro, weil Hacker an die unzureichend gesicherten Daten von Kunden gelangen konnten. British Airways wurde mit 205 Millionen Euro zur Kasse gebeten. Bei der Fluggesellschaft lag eine Datenpanne bei Onlinebuchungen vor. Die französische Datenschutzbehörde CNIL fordert 50 Millionen Euro von Google.
Jetzt wollen auch die deutschen Datenschutzbehörden ein neues System zur Berechnung der Bußgelder einführen. Das Ziel: Höhere Bußgelder. Gleichzeitig sollen die Bußgelder vergleichbar und somit messbar werden. Damit können auch bald in Deutschland empfindliche Strafen fällig werden.
Deutliche höhere Bußgelder drohen
Bemessungsgrundlage für die Bußgelder ist der Gesamtumsatz aus dem Vorjahr:
„Dies hat zur Folge, dass Mutter- und Tochtergesellschaften als wirtschaftliche Einheit betrachtet werden, so dass bei der Bemessung des Bußgeldes der Gesamtumsatz der Unternehmensgruppe zu Grunde gelegt wird.“, so die Datenschutzbehörden in ihrem „Kurzpapier Nr. 2 Aufsichtsbefugnisse/Sanktionen“.
Für Verbände bedeutet dies, dass bei der Berechnung eines Bußgelds auch die Umsätze zum Beispiel einer Service-GmbH oder anderer Tochterunternehmen berücksichtigt werden.
Tagessatz und Schweregrad des Verstoßes
Ausgangspunkt für die Bußgeldberechnung ist der Tagessatz. Dabei wird der Gesamtumsatz einer Gruppe durch 360 geteilt.
Beispiel
Ein Verband mit angeschlossener Service-GmbH erzielt einen Umsatz in Höhe von 4 Mio. Euro pro Jahr. Daraus ergibt sich ein Tagessatz von 11.111 Euro (4 Mio. Euro verteilt auf 360 Tage).
Dieser Wert wird mit einem Faktor multipliziert, der vom Schweregrad des Verstoßes gemäß Art. 83 DSGVO abhängig ist und sich wie folgt darstellt:
- leichter Verstoß: Faktor 1 bis 4
- mittlerer Verstoß: Faktor 4 bis 8
- schwerer Verstoß: Faktor 8 bis 12
- sehr schwerer Verstoß mit
Höchstfaktor: Faktor 12 bis 14,4 - sehr schwerer Verstoß ohne Höchstfaktor: Faktor ab 12 aufwärts
Entscheidend ist der „Unrechtsgehalt“ des Verstoßes. Das bedeutet, dass zum Beispiel eine unverlangt verschickte E-Mail als leichter Verstoß, ein unachtsamer Umgang mit Daten, welcher zu einem Datenleck führt, als schwerer Verstoß gewertet wird.
Beispiel
Einschätzung der Behörde: Mittlerer Verstoß, Faktor: 7.
Multipliziert mit dem Tagessatz ergibt dies einen Wert von 77.777 Euro
Berücksichtigung des Verschuldungsgrads
Zusätzlich wird bei der Berechnung auch der Verschuldungsgrad berücksichtigt. Dieser vermindert oder erhöht das Bußgeld:
- geringe oder unbewusste Fahrlässigkeit:
Verringerung der Summe um 25 Prozent - normale Fahrlässigkeit:
keine Veränderung - Vorsatz oder Absicht:
Erhöhung um 25 bis 50 Prozent - Erste Wiederholung:
Erhöhung um 50 Prozent - Zweite Wiederholung:
Erhöhung um 150 Prozent - Dritte oder weitere Wiederholung:
Erhöhung um 300 Prozent
Zusätzlich wird auch die Zusammenarbeit mit der Datenschutzbehörde und die ergriffenen Maßnahmen zur Schadensminimierung berücksichtigt.
Beispiel
Die Behörde unterstellt Absicht:
+ 50%
Es handelt sich um die erste Wiederholung:
+50%.
Die Folge: Das Bußgeld erhöht sich um 100% auf 155.555 Euro
Bußgelder „müssen weh tun“
Die Bußgeldberechnung kann nach Auffassung der Aufsichtsbehörden nicht eins zu eins auf Verbände übertragen werden, da dort der Umsatz ein nicht repräsentativer Indikator für das Risiko datenschutzrechtlicher Verstöße ist. Dennoch bleibt der Obersatz, wonach Bußgelder „weh tun müssen“ auch für Verbände im Raum. Würde man diese Grundsätze auf Verbände anwenden, so ergäben sich auch hier hohe Bußgelder
Fazit: Hohes Risiko für Verbände
Die „Schonfrist“ nach Inkrafttreten der DSGVO ist vorbei. Dies gilt losgelöst davon, welches konkrete Berechnungsmodell die Behörden für Verbände zugrunde legen werden.
Schon bald ist bei Verstößen mit empfindlichen Strafen zu rechnen. Verbände sollten sich jetzt dringend um die Umsetzung der DSGVO kümmern.