Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) haben sich Bedeutung und Wahrnehmung des Datenschutzes grundlegend verändert. Bekannt gewordene Verstöße und der Umgang der Aufsichtsbehörden mit diesen sorgen dafür, dass Organisationen den gesetzlichen Datenschutzbestimmungen deutlich mehr Aufmerksamkeit als früher schenken. Schließlich möchte kein Unternehmen wegen Verstößen geahndet werden.

Deutsche Aufsichtsbehörden stehen mit dem Instrument der Sanktionierung von Datenschutzvergehen nach eigenen Angaben „noch ganz am Anfang“, zumindest was die Sanktionen angeht. Verantwortliche Stellen wie Berater bereiten sich bereits darauf vor, dass sich die Höhe der Bußgelder bald auf einem europäisch deutlich höheren Niveau einpendeln könnte.

Wie erfolgt die Bußgeldberechnung?

Eine der entscheidenden gesetzlichen Neuerungen, die mit dem Inkrafttreten der DSGVO einhergegangen sind, ist die individuelle Festsetzung von Bußgeldern. Es gibt keine Deckelung mehr, Strafen sollen schmerzen und damit eine abschreckende Wirkung erzielen. Die DSGVO stellt dabei lediglich das zugehörige Rahmenwerk dar. Die Benennung fester Bußgeldbeträge in Verbindung mit ausgewählten Datenschutzverstößen ist daher nicht möglich.

Die aktuelle Diskussion um dieses Thema wird insbesondere durch ein „neues Bußgeldmodell“ genährt, das die Aufsichtsbehörden aktuell testen sollen. Weitere Details nennen die Aufsichtsbehörden derzeit nicht.

Die Datenschutzkonferenz (DSK) selbst informiert in einem aktuellen Papier, dass sie gegenwärtig ein Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO erarbeitet, mit dem Ziel, eine systematische, transparente und nachvollziehbare Bußgeldzumessung zu gewährleisten. Die DSK will das Bußgeldkonzept im November 2019 weiter beraten. Dort wollen die Behörden dann auch über eine Veröffentlichung des Bußgeldkonzepts entscheiden.

Welche Einflussgrößen sind maßgeblich?

Neben dem Jahresumsatz (konzernweit) als Berechnungsgrundlage ist der eigentliche Datenschutzverstoß von entscheidender Relevanz. Er wird mit einem Schweregrad bewertet, der bei der Bußgeldberechnung als Multiplikator dient. Leichte Verstöße werden mit einem niedrigen Faktor bewertet, schwere Verstöße mit einem hohen Faktor. Die Spannweite des Faktors reicht von 1 bis 14,4. Damit ist die Hebelwirkung, die sich aus der Schwere eines Verstoßes ergeben kann, ganz enorm.

Der zweite Faktor ist der Grad des Verschuldens. Sollten die Verantwortlichen unbewusst fahrlässig oder nur gering fahrlässig gehandelt haben, ist eine Abmilderung des Bußgeldbetrags möglich. Bei normaler Fahrlässigkeit bleibt das Bußgeld unverändert, wohingegen es bei grobfahrlässigem Handeln oder einem vorsätzlichen Verstoß um bis zu 50 % erhöht werden kann.

Außerdem berücksichtigen die Datenschutzbehörden bei der Berechnung von Bußgeldern, ob eine Wiederholung vorliegt. Erneute Verstöße führen zu einer Erhöhung des Bußgeldes, die bei der ersten Wiederholungstat 50 % beträgt. Bei häufigeren Wiederholungen ist eine Vervielfachung des Bußgeldes möglich.

Daneben gibt es noch weitere Faktoren, die die zuständige Datenschutzbehörde berücksichtigen kann. Hierzu zählt insbesondere, wie gut das Unternehmen mit der Behörde zusammenarbeitet und welches Engagement es zeigt, um den Verstoß zu beheben.

Fazit

Bis es demnächst also ggf. transparenter und einheitlicher wird, können sich Verantwortliche zumindest auf einen Grundsatz verlassen: Nach Art. 83 Abs. 1 DSGVO müssen die von den Behörden verhängten Bußgelder „wirksam, abschreckend und verhältnismäßig“ sein. Umso entscheidender ist es, Risiken gar nicht erst einzugehen.

Die Seite www.enforcementtracker.com gibt einen Überblick über die (bekannten) Bußgelder und Sanktionen, die die europäischen Datenschutzbehörden bislang verhängt haben.

Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more
    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more