DSGVO-Bußgeldkonzept
Wie viel Bußgeld droht wem bei Datenschutz-Verstößen?

Welche Strafen bei DSGVO-Verstößen drohen, war bislang nicht einheitlich geregelt. Das DSGVO-Bußgeldkonzept soll die Höhe der Bußgelder nachvollziehbarer machen. Die wichtigsten Fakten.

, von
Datenschutz Datenschutz-Grundverordnung
Kommentieren
Welches Bußgeld droht bei welchem DSGVO-Verstoß? Das Bußgeldkonzept gibt Antworten.
Welches Bußgeld droht bei welchem DSGVO-Verstoß? Das Bußgeldkonzept gibt Antworten.
© onemorenametoremembe / photocase

Die Deutsche Datenschutzkonferenz hat ein Bußgeldkonzept veröffentlicht, das die Aufsichtsbehörden gerade in der Praxis testen. Darin ist unter anderem geregelt, wie Bußgelder für DSGVO-Verstöße berechnet werden. Ein Ziel: Das Verfahren soll transparenter werden, die Bußgelder besser kalkulierbar.

Wie wird die Höhe der Bußgelder konkret festgelegt? Was bedeutet das Konzept für Unternehmen? Und wer muss sich nun auf höhere Bußgelder einstellen? Antworten auf die wichtigsten Fragen.

Was ist das Ziel des Bußgeldkonzepts?

Laut Pressemitteilung der Deutschen Datenschutzkonferenz gestaltet das Konzept jene Vorgaben genauer aus, die der Artikel 83 der Datenschutzgrundverordnung (DSGVO) zum Thema Bußgeld aufstellt. Darin ist unter anderem geregelt, dass bei manchen Verstößen gegen die DSGVO bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes als Strafe verhängt werden können, bei schwereren Verstößen sogar das Doppelte, also bis zu zwanzig Millionen Euro – oder vier Prozent des Jahresumsatzes. Eine konkrete Grundlage, das Bußgeld im Einzelfall zu berechnen, fehlte jedoch bislang.

Das wird mit dem Konzept anders: Es liefert den Aufsichtsbehörden eine einheitliche Methode, um Geldbußen systematischer, transparenter und nachvollziehbarer zu bemessen. „Eines der Ziele der Behörden ist es meines Erachtens, klarzustellen, dass Unternehmen mit hohen Bußgeldern rechnen müssen, wenn sie die Vorgaben der DSGVO nicht beachten. Dies soll sicherstellen, dass der Datenschutz flächendeckend beachtet wird“, sagt Tim Wybitul, Rechtsanwalt und Einzelsachverständiger des Deutschen Bundestages in Sachen Datenschutz.

Außerdem sollen durch das Konzept die Bußgeldverfahren vorhersehbarer und rechtssicherer werden. Das Problem bislang: Der Strafrahmen, den die DSGVO vorsieht, ist extrem weit gefasst – welches Bußgeld verhängt wurde, war unter anderem davon abhängig, welchen Betrag die Aufsichtsbehörde eines Bundeslandes als angemessen betrachtete. „Das führte dazu, dass Bußgelder bislang oft in intensiven Verhandlungen ausgehandelt wurden, erklärt Wybitul.  Da konnte ein Datenschutz-Verstoß in Berlin gegebenenfalls ein höheres Bußgeld nach sich ziehen konnte als etwa in Bayern“

„Das wird das vorlegte Bußgeldkonzept verhindern: Es legt fest, dass die Höhe des Bußgeldes an den Umsatz gebunden ist – und wie hoch es je nach Schwere der Tat in etwa ausfallen wird“, so Wybitul. (Welche besonders hohen DSGVO-Bußgelder bislang verhängt wurden, zeigt der Artikel: „So viel mussten Unternehmen bei Datenschutz-Verstößen zahlen“).

Was sind die wichtigsten Punkte, die das Bußgeldkonzept regelt?

Das Konzept der Datenschutzkonferenz enthält vor allem drei wichtige Klärungen:

Zur Person
Tim Wybitul ist Partner im Frankfurter Büro der internationalen Kanzlei Latham & Watkins. Sein Arbeitsschwerpunkt ist der Datenschutz: Wybitul berät Unternehmen etwa dabei, wie sie die Vorgaben der DSGVO umsetzen können, außerdem in Verhandlungen mit Datenschutzbehörden und in datenschutzrechtlichen Verfahren vor Gericht.
  • Die Höhe der DSGVO-Bußgelder ist in jedem Fall an den globalen Vorjahresumsatz geknüpft
  • Der Begriff „Umsatz“ bezieht sich auf den der „wirtschaftlichen Einheit“, oft also den des gesamten Konzerns – daran bemisst sich das Bußgeld auch dann, wenn der DSGVO-Verstoß in einem Tochterunternehmen passiert ist.
  • Der Bußgeld-Katalog bezieht sich rein auf Unternehmen – nicht auf Vereine oder Privatpersonen.

Was bedeutet das Bußgeldkonzept für die Höhe der Strafen?

Auf eine Folge des Konzepts sollten sich Unternehmer laut Experten insbesondere einstellen: Die Bußgelder werden deutlich höher ausfallen als in der Vergangenheit. „Bislang herrschte in vielen Unternehmen die Annahme: ‚Na ja, das mit dem Vier-Prozent-Jahresumsatz-Bußgeld werden die Behörden schon nicht machen‘“, erklärt Wybitul. „Diese Vermutung ist nun nicht mehr zu halten. Die DSGVO-Strafen, die das Konzept in seinem Rechenmodell entwirft, haben mit Geldbußen für Kavaliersdelikte nichts mehr zu tun. Wenn ein Großkonzern beispielsweise 100 Milliarden Euro Jahresumsatz macht, muss er nach dem aktuellen Katalog jetzt selbst für leichte Vergehen mögliche Bußgelder von etwa einer Milliarde Euro einkalkulieren.“

Auch Chefs kleinerer Unternehmen können sich nun besser ausrechnen, was es kosten dürfte, wenn sie den Datenschutz vernachlässigen – oder komplett ignorieren. „Wer sich gar nicht um die Bestimmungen kümmert und beispielsweise gar nicht erst versucht, seine IT und seine Datenschutzstrukturen sicher zu gestalten, oder keine Datenschutz-Folgenabschätzung unternimmt, kann nun ziemlich sicher davon ausgehen, dass das Bußgeld dafür etwa zwei Prozent des Jahresumsatzes betragen kann – und schnell auch mehr“, so der Experte.

Was eine Datenschutz-Folgenabschätzung ist und wie man sie macht, erklärt der Artikel Datenschutz-Folgenabschätzung: Was ist das und wer muss sie machen?

Welche Kritik gibt es am Bußgeldkonzept?

Experten monieren am Bußgeldkonzept der Datenschutzkonferenz vor allem drei Punkte:

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer
Jetzt Mitglied werden

Kritikpunkt 1: Die Verknüpfung von Jahresumsatz und Bußgeld

Laut Datenschutz soll sich die Höhe des Bußgelds am Jahresumsatz orientieren und so die gesetzlichen Vorgaben umsetzen, wonach ein Bußgeld wirksam, verhältnismäßig und abschreckend sein soll. „Sonderlich fair ist diese Regelung nicht“, sagt Anwalt Wybitul. „Denn damit haben Unternehmen, deren Produkte oder Dienstleistungen eine geringe Gewinnmargen aufweisen, natürlich enorme Nachteile gegenüber jenen mit hohen Gewinnmargen bei gleichem Umsatz. Sie bezahlen am Ende verhältnismäßig höhere Bußgelder.“

Kritikpunkt 2: Der weiterhin große Ermessungsspielraum der Behörden

Anders als etwa der Punktekatalog des Kraftfahrt-Bundesamts lässt das DSGVO-Bußgeldkonzept offen, welche Verstöße letztlich zu welchen Bußgeldern führen. „Das Berechnungsmodell ist in meinen Augen teilweise nach wie vor unkonkret“, so Wybitul. „Die Behörden haben immer noch sehr viel Freiraum im Hinblick darauf, ob sie einen Verstoß als leicht oder schwer bewerten. Hier gibt es weiterhin eine große Unsicherheit, die in Verfahren vor Gericht geklärt werden muss.“

Kritikpunkt 3: Die fehlende Zusammenrechnung einzelner Verstöße

Eine ungenügende Datenschutzerklärung, eine unsichere IT, eine fehlende Verschlüsselung in Sachen Kundenkommunikation: Begeht ein Unternehmer mehrere Verstöße, muss er mit einem DSGVO-Bußgeld für jeden einzelnen rechnen.

„In den Entscheidungen, die wir bislang gesehen haben, gibt es keinen ‚Mengenrabatt‘. Das halte ich für ein echtes Problem, da auf diese Weise bei mehreren miteinander verbundenen Verstößen sehr hohe Beträge zusammenkommen können. Es ist fraglich, ob dies in der Gesamtheit dann noch verhältnismäßig ist“, erklärt Wybitul.

Wie wird das Bußgeld berechnet?

Das Bußgeldkonzept sieht ein fünfstufiges Verfahren vor, mit dem die Höhe des Bußgeldes errechnet wird.

Schritt 1: Das Unternehmen wird einer Größenklasse zugeordnet

Das Bußgeldkonzept benennt zunächst vier Größenklassen – zu welcher ein Unternehmen gehört, bestimmt der weltweit erzielte Vorjahresumsatz:

  1. Größenklasse A: Kleinstunternehmen mit bis zu 2 Millionen Euro Jahresumsatz
  2. Größenklasse B: Kleinunternehmen mit einem Jahresumsatz zwischen 2 und 10 Millionen Euro
  3. Größenklasse C: Mittlere Unternehmen mit einem Jahresumsatz zwischen 10 und 50 Millionen Euro
  4. Größenklasse D: Großunternehmen mit einem Jahresumsatz von mehr als 50 Millionen Euro

Mit dieser Einteilung der KMU folgt die Datenschutzkonferenz der Empfehlung der EU-Kommission (2003/361/EG).

In eigener Sache
Das ChatGPT-Prompt-Handbuch
Für Unternehmerinnen und Unternehmer
Das ChatGPT-Prompt-Handbuch
17 Seiten Prompt-Tipps, Anwendungsbeispiele und über 100 Beispiel-Prompts
Jetzt gratis downloaden

Um einzelne Unternehmen noch konkreter einordnen zu können, sieht das Konzept dann für jede Größenklasse weitere Untergruppen vor, die sich ebenfalls am Jahresumsatz orientieren. Es gibt Untergruppen von AI bis AIII, BI bis BIII, CI bis CVII und DI bis DVII.

Beispiele: Untergruppe AI umfasst Kleinstunternehmen mit einem Jahresumsatz bis zu 700.000 Euro, Untergruppe AII solche mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro. Unternehmen, die zwischen fünf und 7,5 Millionen Euro erwirtschaften, gehören zur Untergruppe BII, solche mit 75 bis 100 Millionen zu DII – und alle mit einem Jahresumsatz von mehr als 500 Millionen Euro zu DVII.

Schritt 2: Der mittlere Jahresumsatz wird bestimmt

Ist ein Unternehmen einer Untergruppe zugeordnet, wird der mittlere Jahresumsatz ermittelt.

Beispiele: Für die Untergruppe AI (bis zu 700.000 Euro Jahresumsatz) liegt der mittlere Jahresumsatz bei 350.000 Euro. Für die Untergruppe AII (700.000 bis 1,4 Millionen Euro) bei 1.050.000 Euro. Für die Untergruppe BII (zwischen fünf und 7,5 Millionen Euro Jahresumsatz) bei 6,25 Millionen Euro und für die Untergruppe DII (75 bis 100 Millionen Euro Jahresumsatz) bei 87,5 Millionen Euro. Bei Untergruppe DVII (Jahresumsatz von mehr als 500 Millionen Euro wird der konkrete Jahresumsatz zugrunde gelegt.

Schritt 3: Der wirtschaftliche Grundwert wird ermittelt

Ist der mittlere Jahresumsatz der Untergruppe, zu dem ein Unternehmen gehört, errechnet, wird dieser Betrag durch 360 geteilt. Das Ergebnis bildet den sogenannten wirtschaftlichen Grundwert – und damit die Basis für die weitere Festlegung des Bußgelds.

Beispiele: Für Untergruppe AI ergibt die Rechnung 350.000 Euro geteilt durch 360 einen wirtschaftlichen Grundwert von 972 Euro, für Untergruppe AII ergibt sich ein Wert von 2917 Euro, für Untergruppe BII von 17.361 Euro und Untergruppe DII von 243.056 Euro und Untergruppe DV von 972.222 Euro.

Schritt 4: Aus der Schwere der Tat wird ein Multiplikationsfaktor abgeleitet

Um den Schweregrad eines Verstoßes gegen die DSGVO zu ermitteln, werden die Umstände des Einzelfalls bewertet. Der Kriterienkatalog, der diese möglichen Umstände beschreibt, steht in Artikel 83, Absatz 2 DSGVO. Zu ihnen gehört etwa die Art und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens, den diese erlitten haben. Außerdem beispielsweise die Frage, wie gut der Betroffene mit der Aufsichtsbehörde zusammengearbeitet hat – und etwa auch, ob mit dem Verstoß direkte finanzielle Vorteile erlangt wurden.

Diese Umstände führen laut Bußgeldkonzept zu einem Faktor, mit dem der wirtschaftliche Grundwert multipliziert wird. Aus dieser Rechnung ergibt sich dann das vorläufige Bußgeld.

Das Bußgeldkonzept sieht vier Schweregrade eines Verstoßes vor: leicht, mittel, schwer, sehr schwer. Außerdem wird unterschieden zwischen „formellen“ und „materiellen“ Verstößen. Je nach Art und Schwere des Verstoßes liegt der Faktor zwischen 1 und 12 – bei sehr schweren Verstößen mitunter sogar noch höher.

Schritt 5: Das vorläufige Bußgeld wird final angepasst

Das in Schritt 4 errechnete vorläufige Bußgeld wird abschließend noch einmal überprüft und gegebenenfalls angepasst. Dabei kommen – nochmals – alle Umstände zum Tragen, die für oder gegen einen Betroffenen sprechen. Dazu gehört etwa die Frage, ob er fahrlässig gehandelt hat oder vorsätzlich. Auch gibt es Ermäßigungen bei einer sehr langen Verfahrensdauer – oder wenn dem Unternehmen durch das Bußgeld die Zahlungsunfähigkeit droht.

Wie sieht eine Beispielrechnung aus?

Ein durchschnittlicher Bäckerbetrieb in Deutschland erwirtschaftet mit gut 24 Mitarbeitern 1.343.000 Euro Umsatz pro Jahr. Angenommen, der Chef eines solchen Betriebes betreibt einem Online-Shop, über den er Hochzeitstorten verkauft, und achtet nicht darauf, die Website und die dort erhobenen Daten DSGVO-konform zu sichern. Dann müsste er mit einer Bußgeldforderung wie folgt rechnen:

Schritt 1:

Mit 1.343.000 Euro Jahresumsatz fällt die Bäckerei in die Größenklasse der Kleinstunternehmen mit bis zu zwei Millionen Euro Jahresumsatz – und dort wiederum in die Untergruppe AII jener Unternehmen mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro.

Schritt 2:

Der mittlere Jahresumsatz dieser Untergruppe beträgt 1.050.000 Euro.

Schritt 3:

Geteilt durch 360 ergibt dies einen wirtschaftlichen Grundwert von 2917 Euro.

 Schritt 4:

Weil in der Beispielrechnung nur wenige Personen betroffen sind, der Bäcker ohne Vorsatz gehandelt und die Datenschutzbestimmungen ansonsten beachtet hat, ordnet die Aufsichtsbehörde den Verstoß als formellen Verstoß des Schweregrads „leicht“ ein – und legt den Faktor 2 fest. Mit diesem Faktor wird der wirtschaftliche Grundwert von 2917 Euro multipliziert. So ergibt sich ein vorläufiges Bußgeld von 5834 Euro.

Schritt 5:

Weil sich das Bußgeldverfahren lange hingezogen hat, was eine andauernde Belastung des Unternehmers über eine erhebliche Zeitspanne hinweg bedeutete, legt die Behörde das Bußgeld abschließend auf 5000 Euro fest.

Wie verbindlich ist das Bußgeldkonzept?

Das aktuelle Bußgeldkonzept gilt nur für deutsche Behörden – und auch nur solange, bis der Europäische Datenschutzausschuss endgültige Leitlinien erstellt hat. „Das wird noch eine gewisse Zeit dauern. Ich wäre überrascht, wenn sich der Ausschuss in weniger als einem Jahr einigt“, so Experte Wybitul.

Bis es soweit ist, bildet das Konzept der deutschen Datenschutzkonferenz Grundlage für die Sanktionspraxis der deutschen Aufsichtsbehörden. Ergänzungen und Änderungen sind dabei möglich.

Da das Bußgeldkonzept ein Modell darstellt und kein Gesetz, sind Gerichte jedoch nicht daran gebunden. „Das Modell ist aber auf jeden Fall ein erster Schritt auf einem Weg zu einer klaren Rechtsprechung“, erläutert Experte Wybitul. „Verteidiger werden sich auf Schwachstellen in diesen Katalog berufen – und die Richter haben dann insbesondere die Aufgabe zu entscheiden, in welchem Fall welche Bußgelder verhältnismäßig sind, also tat- und schuldangemessen.“

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer
Jetzt Mitglied werden
Die Deutsche Datenschutzkonferenz hat ein Bußgeldkonzept veröffentlicht, das die Aufsichtsbehörden gerade in der Praxis testen. Darin ist unter anderem geregelt, wie Bußgelder für DSGVO-Verstöße berechnet werden. Ein Ziel: Das Verfahren soll transparenter werden, die Bußgelder besser kalkulierbar. Wie wird die Höhe der Bußgelder konkret festgelegt? Was bedeutet das Konzept für Unternehmen? Und wer muss sich nun auf höhere Bußgelder einstellen? Antworten auf die wichtigsten Fragen. Was ist das Ziel des Bußgeldkonzepts? Laut Pressemitteilung der Deutschen Datenschutzkonferenz gestaltet das Konzept jene Vorgaben genauer aus, die der Artikel 83 der Datenschutzgrundverordnung (DSGVO) zum Thema Bußgeld aufstellt. Darin ist unter anderem geregelt, dass bei manchen Verstößen gegen die DSGVO bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes als Strafe verhängt werden können, bei schwereren Verstößen sogar das Doppelte, also bis zu zwanzig Millionen Euro – oder vier Prozent des Jahresumsatzes. Eine konkrete Grundlage, das Bußgeld im Einzelfall zu berechnen, fehlte jedoch bislang. Das wird mit dem Konzept anders: Es liefert den Aufsichtsbehörden eine einheitliche Methode, um Geldbußen systematischer, transparenter und nachvollziehbarer zu bemessen. „Eines der Ziele der Behörden ist es meines Erachtens, klarzustellen, dass Unternehmen mit hohen Bußgeldern rechnen müssen, wenn sie die Vorgaben der DSGVO nicht beachten. Dies soll sicherstellen, dass der Datenschutz flächendeckend beachtet wird“, sagt Tim Wybitul, Rechtsanwalt und Einzelsachverständiger des Deutschen Bundestages in Sachen Datenschutz. Außerdem sollen durch das Konzept die Bußgeldverfahren vorhersehbarer und rechtssicherer werden. Das Problem bislang: Der Strafrahmen, den die DSGVO vorsieht, ist extrem weit gefasst – welches Bußgeld verhängt wurde, war unter anderem davon abhängig, welchen Betrag die Aufsichtsbehörde eines Bundeslandes als angemessen betrachtete. „Das führte dazu, dass Bußgelder bislang oft in intensiven Verhandlungen ausgehandelt wurden, erklärt Wybitul.  Da konnte ein Datenschutz-Verstoß in Berlin gegebenenfalls ein höheres Bußgeld nach sich ziehen konnte als etwa in Bayern“ „Das wird das vorlegte Bußgeldkonzept verhindern: Es legt fest, dass die Höhe des Bußgeldes an den Umsatz gebunden ist – und wie hoch es je nach Schwere der Tat in etwa ausfallen wird“, so Wybitul. (Welche besonders hohen DSGVO-Bußgelder bislang verhängt wurden, zeigt der Artikel: „So viel mussten Unternehmen bei Datenschutz-Verstößen zahlen“). Was sind die wichtigsten Punkte, die das Bußgeldkonzept regelt? Das Konzept der Datenschutzkonferenz enthält vor allem drei wichtige Klärungen: Die Höhe der DSGVO-Bußgelder ist in jedem Fall an den globalen Vorjahresumsatz geknüpft Der Begriff „Umsatz“ bezieht sich auf den der „wirtschaftlichen Einheit“, oft also den des gesamten Konzerns – daran bemisst sich das Bußgeld auch dann, wenn der DSGVO-Verstoß in einem Tochterunternehmen passiert ist. Der Bußgeld-Katalog bezieht sich rein auf Unternehmen – nicht auf Vereine oder Privatpersonen. Was bedeutet das Bußgeldkonzept für die Höhe der Strafen? Auf eine Folge des Konzepts sollten sich Unternehmer laut Experten insbesondere einstellen: Die Bußgelder werden deutlich höher ausfallen als in der Vergangenheit. „Bislang herrschte in vielen Unternehmen die Annahme: ‚Na ja, das mit dem Vier-Prozent-Jahresumsatz-Bußgeld werden die Behörden schon nicht machen‘“, erklärt Wybitul. „Diese Vermutung ist nun nicht mehr zu halten. Die DSGVO-Strafen, die das Konzept in seinem Rechenmodell entwirft, haben mit Geldbußen für Kavaliersdelikte nichts mehr zu tun. Wenn ein Großkonzern beispielsweise 100 Milliarden Euro Jahresumsatz macht, muss er nach dem aktuellen Katalog jetzt selbst für leichte Vergehen mögliche Bußgelder von etwa einer Milliarde Euro einkalkulieren.“ Auch Chefs kleinerer Unternehmen können sich nun besser ausrechnen, was es kosten dürfte, wenn sie den Datenschutz vernachlässigen – oder komplett ignorieren. „Wer sich gar nicht um die Bestimmungen kümmert und beispielsweise gar nicht erst versucht, seine IT und seine Datenschutzstrukturen sicher zu gestalten, oder keine Datenschutz-Folgenabschätzung unternimmt, kann nun ziemlich sicher davon ausgehen, dass das Bußgeld dafür etwa zwei Prozent des Jahresumsatzes betragen kann – und schnell auch mehr“, so der Experte. Was eine Datenschutz-Folgenabschätzung ist und wie man sie macht, erklärt der Artikel Datenschutz-Folgenabschätzung: Was ist das und wer muss sie machen? Welche Kritik gibt es am Bußgeldkonzept? Experten monieren am Bußgeldkonzept der Datenschutzkonferenz vor allem drei Punkte: Kritikpunkt 1: Die Verknüpfung von Jahresumsatz und Bußgeld Laut Datenschutz soll sich die Höhe des Bußgelds am Jahresumsatz orientieren und so die gesetzlichen Vorgaben umsetzen, wonach ein Bußgeld wirksam, verhältnismäßig und abschreckend sein soll. „Sonderlich fair ist diese Regelung nicht“, sagt Anwalt Wybitul. „Denn damit haben Unternehmen, deren Produkte oder Dienstleistungen eine geringe Gewinnmargen aufweisen, natürlich enorme Nachteile gegenüber jenen mit hohen Gewinnmargen bei gleichem Umsatz. Sie bezahlen am Ende verhältnismäßig höhere Bußgelder.“ Kritikpunkt 2: Der weiterhin große Ermessungsspielraum der Behörden Anders als etwa der Punktekatalog des Kraftfahrt-Bundesamts lässt das DSGVO-Bußgeldkonzept offen, welche Verstöße letztlich zu welchen Bußgeldern führen. „Das Berechnungsmodell ist in meinen Augen teilweise nach wie vor unkonkret“, so Wybitul. „Die Behörden haben immer noch sehr viel Freiraum im Hinblick darauf, ob sie einen Verstoß als leicht oder schwer bewerten. Hier gibt es weiterhin eine große Unsicherheit, die in Verfahren vor Gericht geklärt werden muss.“ Kritikpunkt 3: Die fehlende Zusammenrechnung einzelner Verstöße Eine ungenügende Datenschutzerklärung, eine unsichere IT, eine fehlende Verschlüsselung in Sachen Kundenkommunikation: Begeht ein Unternehmer mehrere Verstöße, muss er mit einem DSGVO-Bußgeld für jeden einzelnen rechnen. „In den Entscheidungen, die wir bislang gesehen haben, gibt es keinen ‚Mengenrabatt‘. Das halte ich für ein echtes Problem, da auf diese Weise bei mehreren miteinander verbundenen Verstößen sehr hohe Beträge zusammenkommen können. Es ist fraglich, ob dies in der Gesamtheit dann noch verhältnismäßig ist“, erklärt Wybitul. Wie wird das Bußgeld berechnet? Das Bußgeldkonzept sieht ein fünfstufiges Verfahren vor, mit dem die Höhe des Bußgeldes errechnet wird. Schritt 1: Das Unternehmen wird einer Größenklasse zugeordnet Das Bußgeldkonzept benennt zunächst vier Größenklassen – zu welcher ein Unternehmen gehört, bestimmt der weltweit erzielte Vorjahresumsatz: Größenklasse A: Kleinstunternehmen mit bis zu 2 Millionen Euro Jahresumsatz Größenklasse B: Kleinunternehmen mit einem Jahresumsatz zwischen 2 und 10 Millionen Euro Größenklasse C: Mittlere Unternehmen mit einem Jahresumsatz zwischen 10 und 50 Millionen Euro Größenklasse D: Großunternehmen mit einem Jahresumsatz von mehr als 50 Millionen Euro Mit dieser Einteilung der KMU folgt die Datenschutzkonferenz der Empfehlung der EU-Kommission (2003/361/EG). Um einzelne Unternehmen noch konkreter einordnen zu können, sieht das Konzept dann für jede Größenklasse weitere Untergruppen vor, die sich ebenfalls am Jahresumsatz orientieren. Es gibt Untergruppen von AI bis AIII, BI bis BIII, CI bis CVII und DI bis DVII. Beispiele: Untergruppe AI umfasst Kleinstunternehmen mit einem Jahresumsatz bis zu 700.000 Euro, Untergruppe AII solche mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro. Unternehmen, die zwischen fünf und 7,5 Millionen Euro erwirtschaften, gehören zur Untergruppe BII, solche mit 75 bis 100 Millionen zu DII – und alle mit einem Jahresumsatz von mehr als 500 Millionen Euro zu DVII. Schritt 2: Der mittlere Jahresumsatz wird bestimmt Ist ein Unternehmen einer Untergruppe zugeordnet, wird der mittlere Jahresumsatz ermittelt. Beispiele: Für die Untergruppe AI (bis zu 700.000 Euro Jahresumsatz) liegt der mittlere Jahresumsatz bei 350.000 Euro. Für die Untergruppe AII (700.000 bis 1,4 Millionen Euro) bei 1.050.000 Euro. Für die Untergruppe BII (zwischen fünf und 7,5 Millionen Euro Jahresumsatz) bei 6,25 Millionen Euro und für die Untergruppe DII (75 bis 100 Millionen Euro Jahresumsatz) bei 87,5 Millionen Euro. Bei Untergruppe DVII (Jahresumsatz von mehr als 500 Millionen Euro wird der konkrete Jahresumsatz zugrunde gelegt. Schritt 3: Der wirtschaftliche Grundwert wird ermittelt Ist der mittlere Jahresumsatz der Untergruppe, zu dem ein Unternehmen gehört, errechnet, wird dieser Betrag durch 360 geteilt. Das Ergebnis bildet den sogenannten wirtschaftlichen Grundwert – und damit die Basis für die weitere Festlegung des Bußgelds. Beispiele: Für Untergruppe AI ergibt die Rechnung 350.000 Euro geteilt durch 360 einen wirtschaftlichen Grundwert von 972 Euro, für Untergruppe AII ergibt sich ein Wert von 2917 Euro, für Untergruppe BII von 17.361 Euro und Untergruppe DII von 243.056 Euro und Untergruppe DV von 972.222 Euro. Schritt 4: Aus der Schwere der Tat wird ein Multiplikationsfaktor abgeleitet Um den Schweregrad eines Verstoßes gegen die DSGVO zu ermitteln, werden die Umstände des Einzelfalls bewertet. Der Kriterienkatalog, der diese möglichen Umstände beschreibt, steht in Artikel 83, Absatz 2 DSGVO. Zu ihnen gehört etwa die Art und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens, den diese erlitten haben. Außerdem beispielsweise die Frage, wie gut der Betroffene mit der Aufsichtsbehörde zusammengearbeitet hat – und etwa auch, ob mit dem Verstoß direkte finanzielle Vorteile erlangt wurden. Diese Umstände führen laut Bußgeldkonzept zu einem Faktor, mit dem der wirtschaftliche Grundwert multipliziert wird. Aus dieser Rechnung ergibt sich dann das vorläufige Bußgeld. Das Bußgeldkonzept sieht vier Schweregrade eines Verstoßes vor: leicht, mittel, schwer, sehr schwer. Außerdem wird unterschieden zwischen „formellen“ und „materiellen“ Verstößen. Je nach Art und Schwere des Verstoßes liegt der Faktor zwischen 1 und 12 – bei sehr schweren Verstößen mitunter sogar noch höher. Schritt 5: Das vorläufige Bußgeld wird final angepasst Das in Schritt 4 errechnete vorläufige Bußgeld wird abschließend noch einmal überprüft und gegebenenfalls angepasst. Dabei kommen – nochmals – alle Umstände zum Tragen, die für oder gegen einen Betroffenen sprechen. Dazu gehört etwa die Frage, ob er fahrlässig gehandelt hat oder vorsätzlich. Auch gibt es Ermäßigungen bei einer sehr langen Verfahrensdauer – oder wenn dem Unternehmen durch das Bußgeld die Zahlungsunfähigkeit droht. Wie sieht eine Beispielrechnung aus? Ein durchschnittlicher Bäckerbetrieb in Deutschland erwirtschaftet mit gut 24 Mitarbeitern 1.343.000 Euro Umsatz pro Jahr. Angenommen, der Chef eines solchen Betriebes betreibt einem Online-Shop, über den er Hochzeitstorten verkauft, und achtet nicht darauf, die Website und die dort erhobenen Daten DSGVO-konform zu sichern. Dann müsste er mit einer Bußgeldforderung wie folgt rechnen: Schritt 1: Mit 1.343.000 Euro Jahresumsatz fällt die Bäckerei in die Größenklasse der Kleinstunternehmen mit bis zu zwei Millionen Euro Jahresumsatz – und dort wiederum in die Untergruppe AII jener Unternehmen mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro. Schritt 2: Der mittlere Jahresumsatz dieser Untergruppe beträgt 1.050.000 Euro. Schritt 3: Geteilt durch 360 ergibt dies einen wirtschaftlichen Grundwert von 2917 Euro.  Schritt 4: Weil in der Beispielrechnung nur wenige Personen betroffen sind, der Bäcker ohne Vorsatz gehandelt und die Datenschutzbestimmungen ansonsten beachtet hat, ordnet die Aufsichtsbehörde den Verstoß als formellen Verstoß des Schweregrads „leicht“ ein – und legt den Faktor 2 fest. Mit diesem Faktor wird der wirtschaftliche Grundwert von 2917 Euro multipliziert. So ergibt sich ein vorläufiges Bußgeld von 5834 Euro. Schritt 5: Weil sich das Bußgeldverfahren lange hingezogen hat, was eine andauernde Belastung des Unternehmers über eine erhebliche Zeitspanne hinweg bedeutete, legt die Behörde das Bußgeld abschließend auf 5000 Euro fest. Wie verbindlich ist das Bußgeldkonzept? Das aktuelle Bußgeldkonzept gilt nur für deutsche Behörden – und auch nur solange, bis der Europäische Datenschutzausschuss endgültige Leitlinien erstellt hat. „Das wird noch eine gewisse Zeit dauern. Ich wäre überrascht, wenn sich der Ausschuss in weniger als einem Jahr einigt“, so Experte Wybitul. Bis es soweit ist, bildet das Konzept der deutschen Datenschutzkonferenz Grundlage für die Sanktionspraxis der deutschen Aufsichtsbehörden. Ergänzungen und Änderungen sind dabei möglich. Da das Bußgeldkonzept ein Modell darstellt und kein Gesetz, sind Gerichte jedoch nicht daran gebunden. „Das Modell ist aber auf jeden Fall ein erster Schritt auf einem Weg zu einer klaren Rechtsprechung“, erläutert Experte Wybitul. „Verteidiger werden sich auf Schwachstellen in diesen Katalog berufen – und die Richter haben dann insbesondere die Aufgabe zu entscheiden, in welchem Fall welche Bußgelder verhältnismäßig sind, also tat- und schuldangemessen.“
Mehr lesen über
Datenschutz Datenschutz-Grundverordnung
Datenschutz Bewerbungen
Datenschutz bei Bewerbungen
Umgang mit Bewerberdaten? Das müssen Unternehmen beachten
Auch bei Bewerbungen greift die DSGVO: Wie Arbeitgeber Bewerberdaten nutzen dürfen, welche Aufbewahrungsfristen gelten und wann sie Lebenslauf und Anschreiben löschen müssen. Ein Überblick.
Beschäftigtendatenschutz
Beschäftigtendatenschutz
Speichern oder Löschen? Diese Regeln gelten für Mitarbeiterdaten
Unternehmen brauchen Daten ihrer Beschäftigten. Doch wer Daten über das Team unerlaubt sammelt, für andere Zwecke nutzt oder gar verliert, muss mit hohen Bußgeldern rechnen. Das sollten Sie wissen.
KI und Recht
KI und Recht
Diese Haftungsrisiken lauern bei der Arbeit mit ChatGPT und anderen KI-Tools
Auch für künstliche Intelligenz gelten echte Gesetze. Diese rechtlichen Fallstricke sollten Sie kennen, wenn Sie die neuen KI-Tools im Firmenalltag nutzen.
Beliebte FAQs und Anleitungen aus den 6 Feldern unternehmerischer Herausforderungen