Anfang November wurde die Deutsche Wohnen zum höchsten Bußgeld verdonnert, das bisher in Deutschland auf Basis der DSGVO ausgesprochen wurde. 14,5 Millionen Euro, wie die Computerwoche berichtet. Deutsche Behörden zeigen demnach eine wachsende Bereitschaft, die Bußgelder im Rahmen der DSGVO-Umsetzung höher anzusetzen. Nun stellt sich die Frage: Wie sieht das Bußgeldkonzept für die DSGVO eigentlich aus?
Schluss mit Samthandschuh
Vor der DSGVO betrug der Höchstbetrag für mögliche Bußgeldstrafen 300.000 Euro. Danach stieg er auf bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens an. Artikel 83 der DSGVO sieht alternativ einen Betrag von bis zu 20 Millionen Euro vor – je nachdem, ob dieser Betrag höher ist oder die vier Prozent des Jahresumsatzes. Im Gegensatz zu anderen Behörden, etwa der französischen Commission Nationale de l’Informatique et des Libertés (CNIL), hielten sich die deutschen Datenschutzbehörden datenschutzbeauftragter-info zufolge allerdings zurück. Das soll sich nun ändern – denn die Datenschutzbehörden haben ein neues Bußgeldkonzept für die DSGVO erarbeitet.
In fünf Schritten zum Bußgeld
Das neue Konzept soll sich ebenfalls an Art. 83 der DSGVO orientieren und zielt darauf ab, eine einheitliche Methode für eine nachvollziehbare Bemessung von Geldbußen zu liefern. Es zieht nach wie vor den Umsatz eines Unternehmens heran, um ein angemessenes Bußgeld zu errechnen. Die Berechnung erfolgt dabei in fünf Schritten:
- Zuordnung des Unternehmens in eine von vier Größenklassen (A – D. In die Kategorie A fallen Kleinstunternehmen mit einem Jahresumsatz bis zwei Millionen Euro, B sind Unternehmen mit einem Umsatz zwischen zwei und zehn Millionen Euro, Kategorie C-Unternehmen nehmen zwischen zehn und 50 Millionen Euro ein. Kategorie D sind Großunternehmen, die 50 Millionen Euro bis 75 Millionen Euro einnehmen)
- Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
- Ermittlung des wirtschaftlichen Grundwerts
- Multiplikation des Grundwerts mit einem von der Schwere der Tatumstände abhängigen Faktoren
- Anpassung dieses Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände
„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“ – Aus Art. 83 DSGVO
Europaweite Praxis?
Das nun ausgearbeitete Bußgeldkonzept für die DSGVO ist jedoch keinesfalls der Wahrheit letzter Schluss. Neue Erkenntnisse aus den europaweiten Abstimmungen und die Praxis der Aufsichtsbehörden könnten in Zukunft für Anpassungen und Ergänzungen sorgen. Einer der von Datenschutzexperten vorgebrachten Kritikpunkte ist jedoch, dass das Konzept der DSK zu überhöhten Bußgeldern führen könnte, die dann vor Gericht geklärt werden müssen. Für kleinere Unternehmen könnte das existenzbedrohende Krisen auslösen. Bitkom zufolge haben deutsche Unternehmen Probleme damit, die DSGVO umzusetzen. Erst jedes vierte Unternehmen (25 Prozent) hat die neuen Regelungen übernommen. Sechs Prozent stehen noch am Anfang. Immerhin 24 Prozent haben die DSGVO teilweise umgesetzt. Ferner verhindere die DSGVO innovative Projekte.
Die vorliegende Fassung stellt die Datenschutzkonferenz auf ihrer Homepage zur Verfügung.
Titelbild: ©EVERST/ stock.adobe.com
