Jetzt ist es offiziell – nach dem im Web schon einiges gemunkelt wurde:
Die Leitlinien zur Festsetzung von DSGVO-Bußgeldern sind da.
Bisher waren lediglich folgende Bußgeld-Eckpunkte gem. Art. 83 (4) und (6) DSGVO einprägsam bekannt: max. 20 Mio bzw. 4 % des weltweiten Vorjahresumsatzes – je nachdem welcher Betrag höher ist!
Am 16.10.2019 haben die deutschen Datenschutzaufsichtsbehörden (DSK Datenschutzkonferenz) nun ihr Verfahren zur Berechnung von Datenschutz-Bußgeldern veröffentlicht: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
In der Theorie erfolgt die Berechnung nach dem Bußgeld-Konzept wie folgt:
1. Unternehmen wird nach weltweitem Jahresumsatz klassifiziert – von A (Kleinst-) – D (Großuntern.)
2. Bestimmung des mittleren Jahresumsatzes der Unternehmensklasse A-D
3. Ermittlung des wirtschaftlichen Grundwertes in Form eines Tagessatzes
=> mittlerer Jahresumsatz: 360 (Tage) = Tagessatz
4. Tagessatz x Schwere-Faktor = Bußgeldbetrag
| Schweregrad der Tat | Faktor für formelle Verstöße gemäß Art. 83 Abs. 4 DSGVO | Faktor für materielle Verstöße gemäß Art. 83 Abs. 5,6 DSGVO |
| Leicht | 1 bis 2 | 1 bis 4 |
| Mittel | 2 bis 4 | 4 bis 8 |
| Schwer | 4 bis 6 | 8 bis 12 |
| Sehr Schwer | 6 < | 12 < |
Quelle: Tabelle 4 aus Bußgeldkonzept der Behörden.
5. „Bereinigung“ des Bußgeldbetrags durch Berücksichtigung mildernder oder erschwerender Aspekte gem. Art. 83 (2) DSGVO
In der Praxis sieht das dann so aus:
Beispielrechnung:
Bei einem Unternehmen mit einem Jahresumsatz bis 2 Mio EUR, wird gemäß der entsprechenden Tabelle im Bußgeldkonzept der mittlere Jahresumsatz von 1,050 Mio EUR gesetzt. Daraus wird der wirtschaftliche Grundwert in Form eines Tagessatzes gemäß folgender Formel berechnet:
1,050 Mio : 360 Tage = 2.917 EUR Tagessatz
Der Tagessatz wird dann mit dem Schwerefaktor multipliziert, Beispiele:
2.917 x 4 = 11.666 EUR = leicht-mittel
2.917 x 6 = 17.500 EUR
2.917 x 8 = 23.333 EUR
2.917 x 12 = 35.000 EUR = sehr schwer
Dieser so ermittelte Bußgeldbetrag wird dann wiederum anhand verschiedener – aus Sicht der Aufsichtsbehörde – positiver so wie negativer Aspekte nachjustiert.
In die Justierungsskala fallen täterbezogene gem. Art. 83 (2) DSGVO oder sonst zu berücksichtigende Umstände, wie:
- Art, Schwere und Dauer des Verstoßes
- Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung
- Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von den ihnen erlittenen Schadens;
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- jegliche von dem Verantwortlichen…getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Grad der Verantwortung des Verantwortlichen…unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
- etwaige einschlägige frühere Verstöße
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
- Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
- Einhaltung von Vorgaben, die die Aufsichtsbehörde bereits zum selben Tatbestand angeordnet hatte.
Welche Aspekte bei dem 14,5 Mio-EUR-Bußgeld gegen die Deutsche Wohnen SE ins Gewicht fielen, lesen Sie hier.
Fazit: Jedes Unternehmen ist also gut beraten, seine Datenverarbeitungsprozesse von der Datenerhebung bis zur Löschung sorgfältig und verantwortungsbewusst zu gestalten sowie der Aufsichtsbehörde kooperativ zu begegnen.
Bedenken Sie: Häufig sind Bußgelder Folgen von Beschwerden betroffener Personen bei der Aufsichtsbehörde, die dann zu Prüfungen durch die Aufsichtsbehörde im Unternehmen führen.
Können Sie sich eigentlich gegen DSGVO-Bußgelder versichern? In einem nächsten Blog-Artikel werden wir dem Sinn und Zweck einer Cyberversicherung für Sie auf den Grund gehen.