In anderen EU-Ländern verhängen die Be­hörden bereits empfindliche Strafen: Briti­sche Datenschützer fordern von der Ho­telkette Marriot 110 Millionen Euro, weil Hacker an die unzureichend gesicherten Daten von Kunden gelangen konnten. Bri­tish Airways wurde mit 205 Millionen Euro zur Kasse gebeten. Bei der Fluggesell­schaft lag eine Datenpanne bei Onlinebu­chungen vor. Die französische Daten­schutzbehörde CNIL fordert 50 Millionen Euro von Google.

Jetzt wollen auch die deutschen Daten­schutzbehörden ein neues System zur Be­rechnung der Bußgelder einführen. Das Ziel: Höhere Bußgelder. Gleichzeitig sollen die Bußgelder vergleichbar und somit messbar werden. Damit können auch bald in Deutschland empfindliche Strafen fällig werden.

Deutliche höhere Bußgelder drohen

Bemessungsgrundlage für die Bußgelder ist der Gesamtumsatz aus dem Vorjahr:

„Dies hat zur Fol­ge, dass Mutter- und Toch­tergesellschaf­ten als wirtschaft­liche Ein­heit betrachtet werden, so dass bei der Bemessung des Bußgeldes der Ge­samtumsatz der Unter­nehmensgruppe zu Grunde gelegt wird.“, so die Datenschutz­behörden in ihrem „Kurzpapier Nr. 2 Auf­sichtsbefugnis­se/Sanktionen“.

Für Verbände bedeutet dies, dass bei der Berechnung eines Bußgelds auch die Um­sätze zum Beispiel einer Service-GmbH oder anderer Tochterunternehmen be­rücksichtigt werden.

Tagessatz und Schweregrad des Verstoßes

Ausgangspunkt für die Bußgeldberech­nung ist der Tagessatz. Dabei wird der Ge­samtumsatz einer Gruppe durch 360 ge­teilt.

Beispiel
Ein Verband mit angeschlossener Service-GmbH erzielt einen Umsatz in Höhe von 4 Mio. Euro pro Jahr. Daraus ergibt sich ein Tagessatz von 11.111 Euro (4 Mio. Euro ver­teilt auf 360 Tage).

Dieser Wert wird mit einem Faktor multipli­ziert, der vom Schweregrad des Verstoßes gemäß Art. 83 DSGVO abhängig ist und sich wie folgt darstellt:

  • leichter Verstoß: Faktor 1 bis 4
  • mittlerer Verstoß: Faktor 4 bis 8
  • schwerer Verstoß: Faktor 8 bis 12
  • sehr schwerer Verstoß mit
    Höchstfak­tor: Faktor 12 bis 14,4
  • sehr schwerer Verstoß ohne Höchstfaktor: Faktor ab 12 aufwärts

Entscheidend ist der „Unrechtsgehalt“ des Verstoßes. Das bedeutet, dass zum Beispiel eine unverlangt verschickte E-Mail als leichter Verstoß, ein unachtsamer Umgang mit Daten, welcher zu einem Datenleck führt, als schwerer Verstoß gewertet wird.

Beispiel
Einschätzung der Behörde: Mittlerer Ver­stoß, Faktor: 7.
Multipliziert mit dem Tagessatz ergibt dies einen Wert von 77.777 Euro

Berücksichtigung des Verschuldungs­grads

Zusätzlich wird bei der Berechnung auch der Verschuldungsgrad berücksichtigt. Dieser vermindert oder erhöht das Buß­geld:

  • geringe oder unbewusste Fahrlässig­keit:
    Verringerung der Summe um 25 Prozent
  • normale Fahrlässigkeit:
    keine Verände­rung
  • Vorsatz oder Absicht:
    Erhöhung um 25 bis 50 Prozent
  • Erste Wiederholung:
    Erhöhung um 50 Prozent
  • Zweite Wiederholung:
    Erhöhung um 150 Prozent
  • Dritte oder weitere Wiederholung: 
    Erhöhung um 300 Prozent

Zusätzlich wird auch die Zusammenarbeit mit der Datenschutzbehörde und die ergriffenen Maßnahmen zur Schadensminimierung berücksichtigt.

Beispiel
Die Behörde unterstellt Absicht:
+ 50%
Es handelt sich um die erste Wiederholung:
+50%.
Die Folge: Das Bußgeld erhöht sich um 100% auf 155.555 Euro

Bußgelder „müssen weh tun“

Die Bußgeldberechnung kann nach Auffassun­g der Auf­sichtsbehörden nicht eins zu eins auf Verbände über­tragen wer­den, da dort der Umsatz ein nicht reprä­sentativer Indikator für das Risiko daten­schutzrechtlicher Verstöße ist. Dennoch bleibt der Obersatz, wonach Bußgelder „weh tun müssen“ auch für Ver­bände im Raum. Würde man diese Grundsätze auf Verbände anwenden, so ergäben sich auch hier hohe Bußgelder

Fazit: Hohes Risiko für Verbände

Die „Schonfrist“ nach Inkrafttreten der DSGVO ist vorbei. Dies gilt losgelöst davon, welches konkrete Berechnungsmodell die Behörden für Verbände zugrunde legen werden.

Schon bald ist bei Verstößen mit empfindli­chen Strafen zu rechnen. Verbände sollten sich jetzt dringend um die Umsetzung der DSGVO kümmern.