DSGVO: Neues Modell zur Berechnung von Bußgeldern in Millionenhöhe

FPS Law DSGVO Berechnungsmodell

Update

Nach Aussage der DSK in ihrer Pressemitteilung vom 17.09.2019 sei das Konzept zur Berechnung von Geldbußen noch nicht endgültig verabschiedet worden. Bei dem bekannt gewordenen Konzept handele es sich um einen Entwurf, das unter Berücksichtigung der Vorgehensweise andere EU-Staaten noch weiter fortentwickelt werde. Das deutsche Konzept werde zudem in die auf europäischer Ebene stattfindenden Harmonisierungsbemühungen eingebracht. Möglicherweise werde der deutsche Vorschlag auf dem nächsten Treffen der DSK am 6./7. November 2019 in Trier veröffentlicht.

Gleichzeitig hat die DSK aber zugestanden, dass der aktuelle Entwurf derzeit bereits bei laufenden Bußgeldverfahren herangezogen werde, um ihn auf seine „Praxistauglichkeit und Zielgenauigkeit“ zu testen.

Bereits im August hat die Berliner Datenschutzbeauftragte gegen den Lieferservice Delivery Hero ein Bußgeld in Höhe von knapp 200.000,00 € erlassen. Die stellt einen deutschen Rekord dar. Mit dem Bußgeld reagierte die Behörde auf diverse Verstöße gegen die Erfüllung datenschutzrechtlicher Pflichten:

  • Belästigende Werbemails: Acht ehemalige Delivery-Hero-Kunden hätten unerwünschte Werbe-E-Mails erhalten. Ein Kunde, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, hat weitere 15 Werbe-E-Mails von dem Lieferdienst erhalten.
  • Löschpflicht nicht nachgekommen: In zehn Fällen habe Delivery Hero Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen seit Jahren nicht mehr auf der Plattform des Unternehmens aktiv gewesen waren. Dies stelle einen Verstoß gegen den Zweckbindungsgrundsatz und die Pflicht zur Datenminimierung nach Art. 5 Absatz 1 c) DSGVO dar.
  • Das Recht auf Auskunft missachtet: Schließlich sei in weiteren fünf Fällen die Auskunftsersuchen nach Art. 15 DSGVO nicht ordnungsgemäß beantwortet worden

Funktionierendes Datenschutzmanagement unabdingbar

Unternehmen könnten sich, so die Berliner Landesdatenschutzbeauftragte Smoltczyk, bei einer hohen Anzahl von Verstößen nicht hinter technischen Fehlern und Mitarbeiterversehen verstecken, wenn von „grundsätzlichen, strukturellen Organisationsproblemen“ auszugehen ist. In diesem konkreten Fall habe das Unternehmen mehrfach auf die Verstöße hingewiesen, es habe sich jedoch keine Besserung gezeigt.

____________________________________________________________________________________________________________________

DSGVO: Neues Modell zur Berechnung von Bußgeldern in Millionenhöhe

Die Datenschutzkonferenz DSK – der Zusammenschluss der deutschen Datenschutzbehörden – hat sich auf ein einheitliches Modell zur Berechnung von Bußgeldern bei Datenschutzverstößen verständigt. Dieses Modell berechnet sehr schematisch die Höhe der Geldbußen, die künftig für Datenschutzverstöße fällig werden können. Nach Ansicht der DSK gewährleiste das Modell eine systematische, transparente und nachvollziehbare Bußgeldbemessung.

Gleichzeitig hat das Modell aber auch das Potenzial, den seit Inkrafttreten der DSGVO immer wieder befürchteten Anstieg von Bußgeldern zu realisieren. So hat die Berliner Datenschutzbehörde bereits angekündigt, Bußgelder im zweistelligen Millionenbereich zu verhängen. Dies würde eine deutliche Verschärfung der Bußgeldpraxis bedeuten, denn bisher bewegen sich die in Deutschland ausgesprochener Bußgelder lediglich im 3- und 4-stelligen Bereich.

Bemessungsgrundlage

Grundlage der Bemessung der Bußgeldhöhe ist ein Tagessatz, der aus dem weltweiten Unternehmensumsatz des Vorjahres ermittelt wird. Unter dem weltweiten Unternehmensumsatz versteht die DSK nicht nur den Umsatz der betroffenen GmbH oder AG, sondern den der gesamten Unternehmensgruppe. Das ergibt sich aus ihrem „Kurzpapier Nr. 2 Aufsichtsbefugnisse/Sanktionen“.

Der Tagessatz wird mit einem Faktor multipliziert, der sich an der Schwere des Ausmaßes der Datenschutzverletzung orientiert. Der Schweregrad der Datenschutzverletzung wird mit einem Punktesystem ermittelt, das u. a. die Dauer des Verstoßes, die Zahl der betroffenen Personen und das Ausmaß des erlittenen Schadens einbezieht. Die Skala bewegt sich innerhalb der Faktoren 1 bis 14,4.

Weitere Faktoren

Berücksichtigt werden außerdem …

  • … der Verschuldensgrad: Bei geringer Fahrlässigkeit reduziert sich die Bußgeldhöhe um 25 %, bei Vorsatz oder Absicht erhöht sie sich um 25 % bis 50 %.
  • … die Anzahl der Datenschutzverstöße: Stand ein Unternehmen bereits wegen vergangener Datenschutzverstöße im Fokus der Aufsichtsbehörde und liegt erneut ein Verstoß gegen Datenschutzrecht vor, erhöht sich der vorgesehene Bußgeldrahmen um 50 %. Ab dem dritten Verstoß erhöht sich der Bußgeldrahmen um bis zu 300 %.
  • … wie sich die Zusammenarbeit des Unternehmens mit der Aufsichtsbehörde gestaltet und
  • … welche Maßnahmen das Unternehmen bereits umgesetzt hat, um das Ausmaß des Schadens zu begrenzen.

Was tun?

Es gilt: Vorsorge ist besser als Nachsorge. Unternehmen müssen sich ihren datenschutzrechtlichen Aufgaben stellen, um empfindliche Haftungsrisiken zu minimieren. Wie ein Blick über die Grenzen Deutschlands zeigt, haben andere EU-Mitgliedsstaaten bereits von dem Bußgeldrahmen, den die DSGVO ermöglicht, großzügig Gebrauch gemacht. In Frankreich wurde gegen Google ein Bußgeld in Höhe von 50 Millionen Euro verhängt. In Großbritannien verhängten die Aufsichtsbehörden gegen die Hotelkette Marriott ein Bußgeld in Höhe von 110 Millionen Euro und gegen die Fluglinie British Airways sogar eins in Höhe von 204 Millionen Euro. Die beiden zuletzt genannten Fälle sind zudem insofern bemerkenswert, als dass die bestraften Unternehmen von Hacker angegriffen wurden. Grund der auferlegten Bußgelder waren die unzureichenden Maßnahmen im Bereich der IT-Sicherheit. Die Opfer wurden also bestraft. Eine Übersicht aller in Europa verhängten Bußgelder finden Sie hier.

Nach der eingangs erwähnten Ankündigung der Berliner Datenschutzbehörde und dem neuen Modell der DSK ist nun auch in Deutschland mit einem empfindlichen Anstieg von Bußgeldern zu rechnen.

Ist ein Unternehmen bereits in den Fokus der Datenschutzbehörden gerückt, muss es abwägen, ob ein kooperatives Verhalten sinnvoll ist oder ob das Unternehmen sich gegen die Anordnungen der Datenschutzbehörde zur Wehr setzen möchte.

Teilen Sie diesen Beitrag