In den vergangenen Wochen gab es bereits einige - für deutsche Verhältnisse - aufsehenerregend hohe Bußgelder wegen Datenschutzverstößen. So wurde gegen Delivery Hero ein Bußgeld von circa 200.000 Euro verhängt, ein weiteres Bußgeld in zweistelliger Millionenhöhe gegen ein noch unbekanntes Unternehmen soll folgen.
Foto: Andrii Yalanskyi - shutterstock.com
Das Besondere an diesen Strafen: Sie übersteigen in ihrem Umfang die bisherige Praxis der Behörden deutlich. Dies zog diverse Diskussionen und Gerüchte um ein neues Berechnungsmodell für Bußgelder bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO/GDPR) nach sich. Hielt sich die Verwaltung bisher mit konkreten Informationen zu den höheren Strafen zurück, veröffentlichte die Datenschutzkonferenz (DSK) als Abstimmungsgremium aller deutschen Datenschutzaufsichtsbehörden nun das neue Bußgeld-Berechnungsmodell.
GDPR-Praxis - deutsche Behörden ziehen nach
In der Vergangenheit haben sich die deutschen Behörden bei der Verhängung von Bußgeldern wegen GDPR-Verstößen eher zurückgehalten. Andere EU-Länder haben hingegen von dem hohen Bußgeldrahmen, den die DSGVO ermöglicht, umfassend Gebrauch gemacht. In diesem Jahr hat die britische Datenschutzbehörde ICO bereits Bußgelder in Höhe von circa 200 Millionen Euro gegen die Fluggesellschaft British Airways und rund 100 Millionen Euro gegen die Hotelkette Marriott verhängt. Schon zuvor forderte die Aufsichtsbehörde in Frankreich von Google ein Bußgeld in Höhe von 50 Millionen Euro.
Nach dem neuen Berechnungsmodell werden Bußgelder wegen Datenschutzverstößen künftig auch in Deutschland weitaus höher ausfallen. Ziel des neuen Datenschutz-Bußgeldmodells ist es, den Aufsichtsbehörden eine einheitliche Methode zur Verfügung zu stellen, die eine systematische, transparente und nachvollziehbare Form der Bemessung von Geldbußen bei DSGVO-Verstößen von Unternehmen ermöglicht. Gleichzeitig soll sichergestellt werden, dass Unternehmen durch wirksamere und abschreckendere Bußgelder den Datenschutz ernst nehmen.
Die neue Berechnungsgrundlage ist von nun an für alle deutschen Datenschutzaufsichtsbehörden verbindlich. Allerdings entfaltet das Modell keine Bindungswirkung gegenüber Gerichten und europäischen Behörden. Es besteht jedoch die Möglichkeit, dass sich das deutsche Modell - zumindest teilweise - auch auf europäischer Ebene etablieren wird. Denn die Festlegung auf ein Berechnungsmodell oder gar die Vorstellung eines selbst entwickelten Berechnungsmodells durch das Abstimmungsgremium der europäischen Datenschutzbehörden steht noch aus. Die DSK hat jedoch bereits angekündigt, dass ein solches Konzept bei Inkrafttreten das nun geltende Modell verdrängen würde.
DSGVO-Bußgelder - das ist neu
Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:
Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres richtet.
Anschließend wird der mittlere Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen)bestimmt, in die das Unternehmen eingeordnet wurde.
Auf dieser Grundlage wird der wirtschaftlichen Grundwert des Unternehmens ermittelt: Die Behörden errechnen einen sogenannten Tagessatz indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
Danach wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechenden, täterbezogenen sowie sonstigen Umstände, berücksichtigt werden.