DSGVO: Konzept der Aufsichtsbehörden zur Bußgeldzumessung bekannt geworden

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (im Folgenden: DSK) hat sich am 25.06.2019 im Rahmen der „Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ [Protokoll] von der Öffentlichkeit weitgehend unbemerkt auf ein neues Modell zur Berechnung von Bußgeldern verständigt.

Mit dem neuen Modell, dass v.a. auf Initiative der Datenschutzbehörden in Niedersachen, Berlin und Baden-Württemberg durch die DSK diskutiert und vereinbart wurde, lässt sich die Höhe von Geldbußen für zukünftige Datenschutzverstöße nunmehr systematisch, transparent und nachvollziehbar berechnen.

Konkret bemisst sich der Bußgeldrahmen nach dem neuen Modell wie folgt:

Bemessungsgrundlage ist der weltweit erzielte Jahresumsatz des vorangegangenen Geschäftsjahrs (vgl. Art. 83 Abs. 4 und 5 DSGVO). Aus diesem wird zunächst ein Tagessatz ermittelt, der wiederum mit einem bestimmten Faktor, der in Abhängigkeit zum Schweregrad des jeweiligen Datenschutzverstoßes festzulegen ist (1 bis 4 bei einem leichten Verstoß, bis hin zu 14,4 bei einem sehr schwerwiegenden Verstoß), multipliziert wird. Maßgeblich für den anzuwendenden Faktor sind u.a. die Dauer des Datenschutzverstoßes, die Zahl der betroffenen Personen, das Ausmaß des erlittenen Schadens, die Zusammenarbeit mit der Behörde sowie die bisher ergriffenen Abhilfemaßnahmen.

Darüber hinaus wird im Rahmen der Berechnung der Verschuldungsgrad des Unternehmens berücksichtigt: Bei leichter Fahrlässigkeit vermindert sich die Summe um 25 Prozent, bei normaler Fahrlässigkeit bleibt sie hingegen gleich. Bewegt sich der Datenschutzverstoß im Bereich grober Fahrlässigkeit oder Vorsatz erhöht sich die Summe um 25 bzw. 50 Prozent. Ähnlich verhält es sich, sobald ein bestimmter Datenschutzverstoß wiederholt begangen wird: Hier sind von der erstmaligen Wiederholung bis zu drei oder mehr Wiederholungen Aufschläge zwischen 50 und 300 Prozent möglich.

Dass die Datenschutzbehörden hinter dem Konzept stehen, lässt sich bereits an deren Abstimmungsverhalten ablesen: 16 der 17 vertretenen DSK-Teilnehmer stimmten für das neue Modell, lediglich einer enthielt sich. Es ist daher sehr wahrscheinlich, dass bald auch in Deutschland, wie auch Dalia Kues, Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, unlängst angekündigt hat, erste Bußgelder in Millionenhöhe verhängt werden.

 

Autor: Rechtsanwalt Maximilian Braun

 


Falls Sie Fragen zur Bußgeldbemessung oder zur Umsetzung der DSGVO bzw. des „neuen“ BDSG in Ihrem Unternehmen haben, können Sie sich gerne jederzeit an unsere zertifizierten Datenschutzexperten wenden.

Die Kommentarfunktion ist geschlossen.