Online-Weiterbildung
Präsenz-Weiterbildung
Produkte
Themen
Dashöfer

Neues Bußgeldkonzept für Datenschutzverstöße

28.10.2019  — Rolf Becker.  Quelle: Verlag Dashöfer GmbH.

Deutsche Datenschutzbehörden versuchen sich an einem einheitlichen Bußgeldkonzept. Auf Anfragen weigerte man sich, hierzu Papiere zu veröffentlichen. Jetzt liegt das neue Konzept vor. Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER – KÖLN erläutert, warum es für Unternehmen schwierig bleibt, ihr Risiko einzuschätzen.

Die Datenschutzbehörden der Länder und des Bundes verbreiten ihr „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ jetzt im Internet.

Vor Kurzem erst verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk gegen ein Lieferunternehmen für Speisen Deutschlands bislang höchste Datenschutz-Bußgelder in Höhe von insgesamt 195.407 Euro für eine größere Anzahl von Einzelverstößen (10 alte Kundenkonten nicht gelöscht, 8 Kunden mit mehreren Werbemails ohne Einwilligung bzw. gg. Widerspruch, 5 x Auskunftsbegehren verweigert oder erst nach Behördeneinschreiten).

Da wird man aufmerksam, denn so gewaltig lesen sich die vorstehenden Verstöße nicht. Aber durch hohe Tagessätze, die etwa bei Kleinstunternehmen mit Umsätzen bis 700.000 Euro dann bei 972 Euro liegen oder z.B. bei Unternehmen bis 5 Mio. Umsatz bei 9.722 Euro kommt es schnell zu hohen Beträgen. Ein mittlerer materieller Verstoß läge etwa bei 5.832 Euro für den erstgenannten Umsatz und bei 58.332 Euro für Unternehmen bis 5 Mio. Umsatz.

Als besonderes Merkmal von Plattform-Märkten gilt, dass alle Beteiligten aus der Plattform Vorteile ziehen – und das sehen auch die allermeisten deutschen Unternehmen so. Ganz oben in der Liste der Nutznießer stehen dabei die Plattformbetreiber selbst (98 Prozent), aber 79 Prozent sehen auch Vorteile für die Anbieter auf der entsprechenden Plattform und 73 Prozent für die Kunden, die die Plattform nutzen. Mehr als jeder Zweite (53 Prozent) ist sogar überzeugt, dass die gesamte Branche von einer digitalen Plattform Vorteile hat.

Das ist schon fast nur ein einziger Tagessatz für Unternehmen bis 20 Mio. Umsatz (48.611 Euro Tagesssatz). Ein Unternehmen mit bis zu 20 Mio. Umsatz müsste für den gleichen Verstoß mit 291.666 Euro Bußgeld rechnen.

Berechnungsgrundlage für Bußgelder

Grundlage für die Erhebung von Bußgeldern ist also der Umsatz eines Unternehmens im vorausgegangenen Geschäftsjahr. Dies ergibt sich ja bereits zwingend aus Art. 83 Abs. 4 und 5 DSGVO.

Aus diesem Umsatz wird ein Tagessatz ermittelt (ein nach Gruppen ermittelter mittlerer Jahresumsatz wird also durch rund 360 geteilt).

Schwere der Tat als Faktor

Dieser Tagessatz wird mit einem Faktor von 1 bis – eine Obergrenze des Faktors nennt das „Konzept“ leider nicht – multipliziert. Bestimmend für den Faktor ist der Schweregrad der Tat und ob es sich um einen formellen Verstoß oder um einen materiellen Verstoß handelt.

Formelle Verstöße dürften dabei insbesondere Verstöße gegen Informationspflichten sein, materielle Verstöße dürften Verstöße bei der tatsächlichen Datenverarbeitung darstellen.

Schweregrad
der Tat
Faktor für formelle Verstöße
(Art. 83 Abs. 4 DSGVO)
Faktor für materielle Verstöße
(Art. 83 Abs. 5, 6 DSGVO)
Leicht 1 bis 2 1 bis 4
Mittel 2 bis 4 4 bis 8
Schwer 4 bis 6 8 bis 12
Sehr schwer 6 < 12 <

Aus welchen Gesichtspunkten sich genauer die Einstufung in die Faktoren ergibt, ist nicht ersichtlich. Völlig unklar bleibt auch, wann ein leichter, mittlerer, schwerer oder sehr schwerer Verstoß vorliegen soll. Von einem Punktesystem zur Feststellung des jeweiligen Faktors, wie es in den ursprünglichen Meldungen vor einem Monat noch erwähnt wurde, findet sich in dem jetzt veröffentlichten Konzept nichts.

Weitere Faktoren

Der so ermittelte Bußgeldwert wird dann noch unter Berücksichtigung weiterer Faktoren gemindert oder erhöht – wie genau wird nicht erwähnt.

Fazit

Unternehmen, die von einem Bußgeld nach DSGVO betroffen sind, sollten prüfen lassen, wie hoch die Erfolgsaussichten sind, dagegen gerichtlich vorzugehen. Bußgelder, die auf dem jetzt veröffentlichten Konzept erlassen werden, sollten unbedingt gerichtlich überprüft werden. Die Überprüfung durch die Gerichte ist die einzige Kontrolle, der die Datenschutzbehörden unterliegen.

nach oben
FAQ