I. Allgemeines

Die nationalen Aufsichtsbehörden können nach der Datenschutz-Grundverordnung (DSGVO) Bußgelder für bestimmte Datenschutzverstöße verhängen. Die Bußgelder werden zusätzlich oder anstelle von weiteren Bei- oder Abhilfebefugnissen, wie etwa der Anordnung zur Beendigung des Verstoßes, eine Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen sowie der Ausspruch eines zeitlich begrenzten oder endgültigen Verbots der Datenverarbeitung, auferlegt.

Die Datenschutzbeauftragten der Länder haben laut einem Medienbericht seit Inkrafttreten der Datenschutz-Grundverordnung im vergangenen Mai in mindestens 75 Fällen Bußgelder verhängt. Die Gesamtsumme beträgt laut einer Umfrage der Welt am Sonntag knapp 485.000 Euro (Stand 15. Mai 2019). Strafen in Millionenhöhe, wie im Vorfeld der DSGVO von Unternehmen und Vereinen befürchteten, sind demnach bislang in Deutschland noch nicht verhängt worden.

Die Sanktionen sollen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Gemäß Art 84 DSGVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Zur Bemessung der Sanktion gibt es einen Katalog mit Kriterien in Art. 83 Abs. 2 (a) bis (k) DSGVO. Wie hoch ein DSGVO Bußgeld ist, entscheiden die Landesbeauftragten der Datenschutzbehörden dann hierdurch im Einzelfall.

II. Konkretes Berechnungsmodell für die Zukunft

Im Juni trafen sich die deutschen Datenschutzexperten zur „Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ und diskutierten ein neues Rechenmodell. Das berechnet übersichtlich und sehr schematisch die Höhe der Geldbußen, die künftig für Datenschutzverstöße fällig werden können. Wie deutlich die Datenschützer hinter dem Konzept stehen, lässt das Protokoll der Zwischenkonferenz erahnen. Darin heißt es, dass das vorgestellte Konzept auf Interesse gestoßen sei, da es „im Gegensatz zu anderen Modellen eine systematische, transparente und nachvollziehbare Bußgeldbemessung gewährleiste.“

Danach berechnet sich der Bußgeldrahmen wie folgt: Bemessungsgrundlage ist der weltweite Unternehmensumsatz des Vorjahres, aus dem sich der Tagessatz ergibt. Der wird multipliziert mit einem Faktor, der abhängig vom Schweregrad des Verstoßes ist, etwa Faktor 1 bis 4 bei einem leichten Verstoß, bis hin zu einem Faktor zwischen 12 bis 14,4 bei einem sehr schweren Verstoß. Der Schweregrad wiederum ist das Ergebnis eines Punktesystems, das senkend, gleichbleibend oder erhöhend wirkt. Maßgeblich für die Punktzahl ist unter anderem die Dauer des Verstoßes, die Zahl der betroffenen Personen und das Ausmaß des erlittenen Schadens.

Das Modell berücksichtigt außerdem – jeweils schematisch – den Verschuldungsgrad. Handelt es sich um eine geringe oder unbewusste Fahrlässigkeit, vermindert sich die Summe um 25 Prozent. Bei normaler Fahrlässigkeit bleibt sie gleich, sie erhöht sich um 25 oder sogar 50 Prozent bei Vorsatz oder Absicht. Hat sich das Unternehmen bereits in der Vergangenheit bei der Behörde etwas zuschulden kommen lassen, schlägt sich das ebenfalls nieder: Ein erneuter Verstoß bringt einen Aufschlag von 50 Prozent, zwei einen Aufschlag von 150 Prozent und drei oder mehr Verstöße einen Aufschlag um 300 Prozent. Zu Buche schlagen außerdem weitere Faktoren, beispielsweise wie die Behörde die Zusammenarbeit mit ihr beurteilt oder auch welche Maßnahmen das Unternehmen bereits ergriffen hat, um den Schaden zu mindern.

III. Konsequenzen

Die deutschen Aufsichtsbehörden agierten bis jetzt moderat, ihre Linie ist es, den möglichen Strafrahmen nicht maximal auszuschöpfen. Bereits verhängte Strafen spielten sich eher im Rahmen von fünf- bis maximal sechsstelligen Summen ab.

Mit diesem Berechnungsmodell werden die Strafen in zweistelliger Millionenhöhe auch in Deutschland Realität und vor allem statt der Ausnahme, die Regel.

Andere Mitgliedsstaaten haben bereits hiernach deutlich höhere Bußgelder verhängt: Die französische Aufsichtsbehörde hat mit einem Bußgeld von 50 Millionen Euro Google zur Kasse gebeten. Großbritannien war noch strenger und verhängte 110 Millionen Euro gegen die Hotelkette Marriott und 204 Millionen Euro gegen die Fluglinie British Airways.

Nun ist es umso wichtiger professionell datenschutzrechtliche Beratung einzuholen und sich mit einem effizienten Datenschutzkonzept gegen solche Bußgelder zu schützen.