Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) haben sich Bedeutung und Wahrnehmung des Datenschutzes grundlegend verändert. Bekannt gewordene Verstöße und der Umgang der Aufsichtsbehörden mit diesen sorgen dafür, dass Organisationen den gesetzlichen Datenschutzbestimmungen deutlich mehr Aufmerksamkeit als früher schenken. Schließlich möchte kein Unternehmen wegen Verstößen geahndet werden.
Deutsche Aufsichtsbehörden stehen mit dem Instrument der Sanktionierung von Datenschutzvergehen nach eigenen Angaben „noch ganz am Anfang“, zumindest was die Sanktionen angeht. Verantwortliche Stellen wie Berater bereiten sich bereits darauf vor, dass sich die Höhe der Bußgelder bald auf einem europäisch deutlich höheren Niveau einpendeln könnte.
Wie erfolgt die Bußgeldberechnung?
Eine der entscheidenden gesetzlichen Neuerungen, die mit dem Inkrafttreten der DSGVO einhergegangen sind, ist die individuelle Festsetzung von Bußgeldern. Es gibt keine Deckelung mehr, Strafen sollen schmerzen und damit eine abschreckende Wirkung erzielen. Die DSGVO stellt dabei lediglich das zugehörige Rahmenwerk dar. Die Benennung fester Bußgeldbeträge in Verbindung mit ausgewählten Datenschutzverstößen ist daher nicht möglich.
Die aktuelle Diskussion um dieses Thema wird insbesondere durch ein „neues Bußgeldmodell“ genährt, das die Aufsichtsbehörden aktuell testen sollen. Weitere Details nennen die Aufsichtsbehörden derzeit nicht.
Die Datenschutzkonferenz (DSK) selbst informiert in einem aktuellen Papier, dass sie gegenwärtig ein Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO erarbeitet, mit dem Ziel, eine systematische, transparente und nachvollziehbare Bußgeldzumessung zu gewährleisten. Die DSK will das Bußgeldkonzept im November 2019 weiter beraten. Dort wollen die Behörden dann auch über eine Veröffentlichung des Bußgeldkonzepts entscheiden.
Welche Einflussgrößen sind maßgeblich?
Neben dem Jahresumsatz (konzernweit) als Berechnungsgrundlage ist der eigentliche Datenschutzverstoß von entscheidender Relevanz. Er wird mit einem Schweregrad bewertet, der bei der Bußgeldberechnung als Multiplikator dient. Leichte Verstöße werden mit einem niedrigen Faktor bewertet, schwere Verstöße mit einem hohen Faktor. Die Spannweite des Faktors reicht von 1 bis 14,4. Damit ist die Hebelwirkung, die sich aus der Schwere eines Verstoßes ergeben kann, ganz enorm.
Der zweite Faktor ist der Grad des Verschuldens. Sollten die Verantwortlichen unbewusst fahrlässig oder nur gering fahrlässig gehandelt haben, ist eine Abmilderung des Bußgeldbetrags möglich. Bei normaler Fahrlässigkeit bleibt das Bußgeld unverändert, wohingegen es bei grobfahrlässigem Handeln oder einem vorsätzlichen Verstoß um bis zu 50 % erhöht werden kann.
Außerdem berücksichtigen die Datenschutzbehörden bei der Berechnung von Bußgeldern, ob eine Wiederholung vorliegt. Erneute Verstöße führen zu einer Erhöhung des Bußgeldes, die bei der ersten Wiederholungstat 50 % beträgt. Bei häufigeren Wiederholungen ist eine Vervielfachung des Bußgeldes möglich.
Daneben gibt es noch weitere Faktoren, die die zuständige Datenschutzbehörde berücksichtigen kann. Hierzu zählt insbesondere, wie gut das Unternehmen mit der Behörde zusammenarbeitet und welches Engagement es zeigt, um den Verstoß zu beheben.
Fazit
Bis es demnächst also ggf. transparenter und einheitlicher wird, können sich Verantwortliche zumindest auf einen Grundsatz verlassen: Nach Art. 83 Abs. 1 DSGVO müssen die von den Behörden verhängten Bußgelder „wirksam, abschreckend und verhältnismäßig“ sein. Umso entscheidender ist es, Risiken gar nicht erst einzugehen.
Die Seite www.enforcementtracker.com gibt einen Überblick über die (bekannten) Bußgelder und Sanktionen, die die europäischen Datenschutzbehörden bislang verhängt haben.
Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München
