Nachdem in Deutschland bisher wegen Datenschutzverstößen eher wenig Bußgelder verhängt werden, könnte das in Zukunft mehr werden. Die deutschen Datenschutzbehörden haben sich auf ein Bußgeldkonzept geeinigt, mit dem die Höhe der Strafen vereinheitlicht werden soll.

Die DSGVO sieht grundsätzlich vor, dass für Bußgelder europäisch einheitliche Leitlinien geschaffen werden sollen. In Art. 70 Abs. 1 k) DSGVO ist geregelt, dass der Europäische Datenschutzausschuss (EDSA), der sich aus allen europäischen Datenschutzbehörden zusammensetzt, einheitliche Leitlinien zu Bußgeldern entwickelt. Damit hat der Ausschuss auch schon länger begonnen. Bereits am 03.10.2017 hat der Ausschuss „Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679“ entwickelt.

Die Leitlinien sehen vor, welche Faktoren bei der Höhe der Strafe berücksichtigt werden sollen. Sie sind jedoch noch sehr allgemein gehalten. Daher gibt es für Deutschland jetzt ein etwas detaillierteres Konzept.

„Wirtschaftlicher Grundwert“ nach Größe des Unternehmens

Das Konzept sieht vor, dass zunächst ein „wirtschaftlicher Grundwert“ nach der Größe des Unternehmens entwickelt wird, der dann je nach Schwere des Verstoßes (mit den Faktoren aus den Leitlinien und eventuell anderen Umständen) angepasst wird.
Dabei liegt der Schwerpunkt des Konzeptes auf dem wirtschaftlichen Grundwert. Es enthält eine Tabelle, nach der Unternehmen je nach ihrem Jahresumsatz eingruppiert werden. Für jede Gruppe gibt es dann einen durchschnittlichen „Tagessatz“. Damit ergibt sich folgende Tabelle:

GruppeUntergruppeUmsatz bisTagessatz
AI0,7 Mio. Euro972 Euro
II1,4 Mio. Euro2.917 Euro
III2 Mio. Euro4.722 Euro
B.I5 Mio. Euro9.722 Euro
II7,5 Mio. Euro17.361 Euro
III10 Mio. Euro24.306 Euro
C.I12,5 Mio. Euro31.250 Euro
II15 Mio. Euro38.194 Euro
III20 Mio. Euro48.611 Euro
IV25 Mio. Euro62.500 Euro
V30 Mio. Euro76.389 Euro
VI40 Mio. Euro97.222 Euro
VII50 Mio. Euro125.000 Euro
D.I75 Mio. Euro173.611 Euro

 

Für Unternehmen der Gruppe D.VII, also mit mehr als 500 Millionen Euro Jahresumsatz ist dann das prozentuale Bußgeldmaximum von 2% bzw. 4% des Jahresumsatzes über dem Maximum von 20 Mio. EUR, so dass der Tagessatz individuell bestimmt werden soll.

„Multiplikationsfaktor“ nach Art des Verstoßes

Wenn der Tagessatz bestimmt ist, wird dieser mit einem Faktor multipliziert, der davon abhängt, wie schwer der Verstoß ist. Für leichte Verstöße sind dabei Faktoren von 1 bis 4, für mittlere (bis zu 8) und schwere bis zu 12 und nur für „sehr schwere“ Verstöße Faktoren von über 12 angesetzt.

Für rein formelle Verstöße (Bußgeld maximal 2% des Jahresumsatzes bzw. 10 Mio. Euro) ist auch hier der Faktor jeweils halb so hoch wie der für materielle Verstöße (Bußgeld maximal 4% des Umsatzes, bzw. 20 Mio. Euro).

„Sonstige Umstände“

Wenn das Bußgeld steht, wird es im letzten Schritt noch einmal angepasst – als Beispiel nennt das Konzept dabei eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit. Unternehmen sollen durch Bußgelder nicht in die Insolvenz getrieben werden.

Welche Folgen hat das?

Eine systematische Grundlage für die Höhe von Bußgeldern ermöglicht es der Behörde, darüber schneller zu entscheiden. Ohne eine Berechnungsgrundlage ist die Höhe oft mit sehr vielen Überlegungen verbunden, was das Verfahren in die Länge zieht.
Es ist also in Zukunft zu erwarten, dass schneller und häufiger Bußgelder verhängt werden. Weiter beschleunigen wird sich dieser Vorgang, wenn die Datenschutzbehörden mit mehr Erfahrung die Höhe der Multiplikationsfaktoren aus verschiedenen Fällen kennen.

Das Konzept ist hier (www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf) veröffentlicht.

Haben Sie noch weitere Fragen rund um das Thema Datenschutz und IT-Recht? Wir beraten Sie gern!

 

Rechtsanwalt Sebastian Steinmann
Kanzlei Gunkel, Kunzenbacher & Partner
Detmolder Straße 120a
33604 Bielefeld
Telefon: 0521 / 13 69 987
www.gunkel-partner.eu
info@gunkel-partner.eu