So ermitteln die Datenschutzaufsichtsbehörden Bußgelder

Die Datenschutzkonferenz des Bundes und der Länder (DSK)

Am 14. Oktober 2019 hat die DSK ein Konzept zur Ermittlung von Bußgeldern nach der Datenschutz-Grundverordnung veröffentlicht. Als Ergebnis wurde ein neues Bußgeldkonzept vorgestellt, in welchem Datenschutzverstöße von  Unternehmen in 5 Schritten gewertet werden.

In dem Beschluss der DSK heißt es „Dieses Verfahren garantiert eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung.“. Dieses Konzept betrifft nur Unternehmen und schließt Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit aus. Das Gesetz gilt nur in Deutschland und steht nicht zu 100 % fest. Das Gesetz kann somit jederzeit geändert, aufgehoben oder erweitert werden.

Das Bußgeldkonzept

Die DSK ist sich darüber einig, dass der Umsatz eines Unternehmens eine geeignete Kennzahl ist, um eine sachgerechte wirksame Strafe verhängen zu können.

Der Prozess in 5 Schritten:

(1) Zuerst wird das Unternehmen einer Größenklasse zugeordnet.

(2) Danach wird der mittlere Jahresumsatz der Größenklasse bestimmt.

(3) Anschließend wird ein wirtschaftlicher Grundwert ermittelt.

(4) Dieser Grundwert wird mit dem Faktor der Schwere der Tatumstände multipliziert.

(5) Das Ergebnis von Punkt 4 wird an nicht berücksichtige Umstände angepasst.

(1) die Größenklassen

Jedes Unternehmen wird in eine Größenklasse eingeordnet, um die Strafe nach Umsatz ermitteln zu können. Kleinst- kleine- und mittlere Unternehmen werden in die Gruppen A, B und C aufgeteilt. Großunternehmen werden der Gruppe D unterteilt.

Hier gibt es noch Unterklassen, wie zum Beispiel A.I. diese Unterklasse erfasst alle Kleinunternehmen bis 700.000€ Jahresumsatz.

  • Gruppe A bis 2 Mio. €
  • Gruppe B bis 10 Mio. €
  • Gruppe C bis 50 Mio. €
  • Gruppe D über 50 Mio. €

(2) mittleren Jahresumsatz ermitteln

Als Nächstes werden die Unternehmen in Untergruppen eingeteilt. Hier wird der durchschnittliche Jahresumsatz von Unternehmen in dieser Klasse ermittelt. Das betroffene Unternehmen spielt hier nicht mit rein.

(3) der wirtschaftliche Grundwert

Im dritten Schritt wird der wirtschaftliche Grundwert ermittelt, indem der durchschnittliche Jahresumsatz aus (2) durch 360 Tage geteilt wird. Dies ergibt den Tagessatz.

(4) der Schweregrad der Tat

Im nächsten Schritt wird der Tagessatz mit einem Muliplikationsfaktor verrechnet. Dieser Faktor hängt von den vielen individuellen Umständen des Vergehens ab. Dinge wie die Art, Schwere und Dauer des Verstoßes beeinflussen  dabei erheblich den Multiplikationsfaktor.

Die Schwere der Tat wird in leicht, mittel, schwer und sehr schwer geteilt. Die Datenschutzbehörde entscheidet nach eigenem Ermessen, wie hier die Tat eingeordnet wird.

(5) Anpassung des Grundwertes

Im letzten Schritt wird die Strafe individuell an den „Täter“ angepasst. Der bei (4) berechnete Wert wird anhand aller sonstigen, für und gegen den „Täter“ sprechenenden Umstände angepasst.

Im Hinblick auf den Umgang mit dem Verstoß werden hier viele Dinge berücksichtigt, wie zum Beispiel Vorsätzliches oder fahrlässiges Handeln, Kooperation mit der Aufsichtsbehörde.

Fazit

Zurzeit halten sich die Behörden noch zurück und verteilen verhältnismäßig niedrige Strafen. Mit den neuen Gesetzen ist trotzdem nicht zu spaßen. Es sind Strafen im Rahmen von knapp unter 1000€ bis hoch zu 20 Mio. € möglich. Dies wird sich wohl mit der Zeit ändern, wenn mehr Strafen verteilt werden und damit Präzedenzfälle geschaffen werden.

 

 

 

 

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert