Wie wird das Bußgeld für Verstöße gegen die DS-GVO berechnet?

Datenschutz
January 24, 2020

Das Bußgeldkonzept sieht ein fünfstufiges Verfahren vor, mit dem die Höhe des Bußgeldes errechnet wird.

Schritt 1: Das Unternehmen wird einer Größenklasse zugeordnet

Das Bußgeldkonzept benennt zunächst vier Größenklassen – zu welcher ein Unternehmen gehört, bestimmt der weltweit erzielte Vorjahresumsatz:

  1. Größenklasse A: Kleinstunternehmen mit bis zu 2 Millionen Euro Jahresumsatz
  2. Größenklasse B: Kleinunternehmen mit einem Jahresumsatz zwischen 2 und 10 Millionen Euro
  3. Größenklasse C: Mittlere Unternehmen mit einem Jahresumsatz zwischen 10 und 50 Millionen Euro
  4. Größenklasse D: Großunternehmen mit einem Jahresumsatz von mehr als 50 Millionen Euro

Mit dieser Einteilung der KMU folgt die Datenschutzkonferenz der Empfehlung der EU-Kommission (2003/361/EG).

Um einzelne Unternehmen noch konkreter einordnen zu können, sieht das Konzept dann für jede Größenklasse weitere Untergruppen vor, die sich ebenfalls am Jahresumsatz orientieren. Es gibt Untergruppen von AI bis AIII, BI bis BIII, CI bis CVII und DI bis DVII.

Beispiele: Untergruppe AI umfasst Kleinstunternehmen mit einem Jahresumsatz bis zu 700.000 Euro, Untergruppe AII solche mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro. Unternehmen, die zwischen fünf und 7,5 Millionen Euro erwirtschaften, gehören zur Untergruppe BII, solche mit 75 bis 100 Millionen zu DII – und alle mit einem Jahresumsatz von mehr als 500 Millionen Euro zu DVII.

Schritt 2: Der mittlere Jahresumsatz wird bestimmt

Ist ein Unternehmen einer Untergruppe zugeordnet, wird der mittlere Jahresumsatz ermittelt.

Beispiele: Für die Untergruppe AI (bis zu 700.000 Euro Jahresumsatz) liegt der mittlere Jahresumsatz bei 350.000 Euro. Für die Untergruppe AII (700.000 bis 1,4 Millionen Euro) bei 1.050.000 Euro. Für die Untergruppe BII (zwischen fünf und 7,5 Millionen Euro Jahresumsatz) bei 6,25 Millionen Euro und für die Untergruppe DII (75 bis 100 Millionen Euro Jahresumsatz) bei 87,5 Millionen Euro. Bei Untergruppe DVII (Jahresumsatz von mehr als 500 Millionen Euro wird der konkrete Jahresumsatz zugrunde gelegt.

Schritt 3: Der wirtschaftliche Grundwert wird ermittelt

Ist der mittlere Jahresumsatz der Untergruppe, zu dem ein Unternehmen gehört, errechnet, wird dieser Betrag durch 360 geteilt. Das Ergebnis bildet den sogenannten wirtschaftlichen Grundwert – und damit die Basis für die weitere Festlegung des Bußgelds.

Beispiele: Für Untergruppe AI ergibt die Rechnung 350.000 Euro geteilt durch 360 einen wirtschaftlichen Grundwert von 972 Euro, für Untergruppe AII ergibt sich ein Wert von 2917 Euro, für Untergruppe BII von 17.361 Euro und Untergruppe DII von 243.056 Euro und Untergruppe DV von 972.222 Euro.

Schritt 4: Aus der Schwere der Tat wird ein Multiplikationsfaktor abgeleitet

Um den Schweregrad eines Verstoßes gegen die DSGVO zu ermitteln, werden die Umstände des Einzelfalls bewertet. Der Kriterienkatalog, der diese möglichen Umstände beschreibt, steht in Artikel 83, Absatz 2 DSGVO. Zu ihnen gehört etwa die Art und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens, den diese erlitten haben. Außerdem beispielsweise die Frage, wie gut der Betroffene mit der Aufsichtsbehörde zusammengearbeitet hat – und etwa auch, ob mit dem Verstoß direkte finanzielle Vorteile erlangt wurden.

Diese Umstände führen laut Bußgeldkonzept zu einem Faktor, mit dem der wirtschaftliche Grundwert multipliziert wird. Aus dieser Rechnung ergibt sich dann das vorläufige Bußgeld.

Das Bußgeldkonzept sieht vier Schweregrade eines Verstoßes vor: leicht, mittel, schwer, sehr schwer. Außerdem wird unterschieden zwischen „formellen“ und „materiellen“ Verstößen. Je nach Art und Schwere des Verstoßes liegt der Faktor zwischen 1 und 12 – bei sehr schweren Verstößen mitunter sogar noch höher.

Schritt 5: Das vorläufige Bußgeld wird final angepasst

Das in Schritt 4 errechnete vorläufige Bußgeld wird abschließend noch einmal überprüft und gegebenenfalls angepasst. Dabei kommen – nochmals – alle Umstände zum Tragen, die für oder gegen einen Betroffenen sprechen. Dazu gehört etwa die Frage, ob er fahrlässig gehandelt hat oder vorsätzlich. Auch gibt es Ermäßigungen bei einer sehr langen Verfahrensdauer – oder wenn dem Unternehmen durch das Bußgeld die Zahlungsunfähigkeit droht.

Wie sieht eine Beispielrechnung aus?

Ein durchschnittlicher Bäckerbetrieb in Deutschland erwirtschaftet mit gut 24 Mitarbeitern 1.343.000 Euro Umsatz pro Jahr. Angenommen, der Chef eines solchen Betriebes betreibt einem Online-Shop, über den er Hochzeitstorten verkauft, und achtet nicht darauf, die Website und die dort erhobenen Daten DSGVO-konform zu sichern. Dann müsste er mit einer Bußgeldforderung wie folgt rechnen:

Schritt 1:

Mit 1.343.000 Euro Jahresumsatz fällt die Bäckerei in die Größenklasse der Kleinstunternehmen mit bis zu zwei Millionen Euro Jahresumsatz – und dort wiederum in die Untergruppe AII jener Unternehmen mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro.

Schritt 2:

Der mittlere Jahresumsatz dieser Untergruppe beträgt 1.050.000 Euro.

Schritt 3:

Geteilt durch 360 ergibt dies einen wirtschaftlichen Grundwert von 2917 Euro.

 Schritt 4:

Weil in der Beispielrechnung nur wenige Personen betroffen sind, der Bäcker ohne Vorsatz gehandelt und die Datenschutzbestimmungen ansonsten beachtet hat, ordnet die Aufsichtsbehörde den Verstoß als formellen Verstoß des Schweregrads „leicht“ ein – und legt den Faktor 2 fest. Mit diesem Faktor wird der wirtschaftliche Grundwert von 2917 Euro multipliziert. So ergibt sich ein vorläufiges Bußgeld von 5834 Euro.

Schritt 5:

Weil sich das Bußgeldverfahren lange hingezogen hat, was eine andauernde Belastung des Unternehmers über eine erhebliche Zeitspanne hinweg bedeutete, legt die Behörde das Bußgeld abschließend auf 5000 Euro fest.

Wie verbindlich ist das Bußgeldkonzept?

Das aktuelle Bußgeldkonzept gilt nur für deutsche Behörden – und auch nur solange, bis der Europäische Datenschutzausschuss endgültige Leitlinien erstellt hat. Nach meiner Einschätzung kommt das nicht vor Mitte 2021.

Bis es soweit ist, bildet das Konzept der deutschen Datenschutzkonferenz Grundlage für die Sanktionspraxis der deutschen Aufsichtsbehörden. Ergänzungen und Änderungen sind dabei möglich.

 

Teilen

Einen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit einem * markiert

This site uses Akismet to reduce spam. Learn how your comment data is processed.