Christian Horz - stock.adobe.com

Wie die Bußgelder nach DSGVO bemessen werden sollen

Die Aufsichtsbehörden haben für Deutschland ein Konzept veröffentlicht, wie sie die Höhe von Bußgelder nach DSGVO/GDPR bemessen wollen, wenn der Datenschutz verletzt wird.

Im September 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von rund 200.000 Euro gegen einen Lieferdienst erlassen (PDF). Bereits im März 2019 hatte die Berliner Beauftragte ein Bußgeld nach den Maßstäben der DSGVO in Höhe von 50.000 Euro gegen eine Online-Bank N26 verhängt.

„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DSGVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar”, so die Berliner Beauftragte. “Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft.”

Vergleicht man die Höhe der genannten Bußgelder mit denen, die für Marriott und British Airways durch die britische Datenschutzbehörde ICO (Information Commissioner's Office) angekündigt wurden, sind deutliche Unterschiede zu sehen, dort geht es um viele Millionen.

Woher kommen die Unterschiede? Wie kann ein Unternehmen wissen, wie hoch ein mögliches Bußgeld sein kann?

Ermessenkriterien für Bußgelder

Bei der Entscheidung über die Verhängung der Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte die Ermessenskriterien – wie die in Artikel 83 DSGVO genannten – geprüft.

Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Konkret nennt die DSGVO diese Kriterien, die bei der Bemessung von Bußgeldern bei Datenschutzverletzung zu berücksichtigen sind: Bußgelder müssen in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
  • Einhaltung der früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren und
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Gemeinsames Konzept der deutschen Aufsichtsbehörden zur Zumessung von Geldbußen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zudem kürzlich ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO durch Unternehmen vorgelegt. Das Konzept gestaltet im Wesentlichen die genannten Vorgaben des Artikels 83 der Datenschutz-Grundverordnung aus und ist auf Fortentwicklung angelegt. Ziel des Konzepts ist es, den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.

Veränderungen und Ergänzungen des Konzepts sowie der Praxis der Aufsichtsbehörden sind aufgrund neuer Erkenntnisse aus den europaweiten Abstimmungen in der Zukunft möglich. Bis der Europäische Datenschutzausschuss (EDPB) endgültige Leitlinien erstellt hat, soll das vorliegende Konzept die Grundlage für die Bußgeldzumessung in der Sanktionspraxis der deutschen Aufsichtsbehörden bilden.

Mit der Veröffentlichung des Konzeptes zur Bemessung von Geldbußen soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden. Es soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen.

Das Konzept unterstützt mit der Anknüpfung an den Umsatz eines Unternehmens bei der Bußgeldzumessung den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen.

Im Detail betrachtet das Konzept zur Bemessung der Bußgelder nach DSGVO bei Verletzung des Datenschutzes

  • eine Kategorisierung der Unternehmen nach Größenklassen/Jahresumsatz
  • die Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse (also Umsatz in Verbindung mit Unternehmenskategorie wie Kleinstunternehmen, kleines und mittleres Unternehmen etc.)
  • die Ermittlung des wirtschaftlichen Grundwertes (mittlerer Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt)
  • Multiplikation des Grundwertes nach Schweregrad der Tat (leicht bis sehr schwer, wobei die Art des Verstoßes berücksichtigt wird)
  • eine Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände

Das Konzept kann beispielsweise hier (PDF) eingesehen werden.

Nächste Schritte

Rekordstrafen im Rahmen der Datenschutz-Grundverordnung

Gratis-eBook: Die DSGVO in der Praxis umsetzen

Risikoanalyse im Kontext der DSGVO

Erfahren Sie mehr über Datenschutz und Compliance