Search for:

Im Oktober 2019 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen bei einem Verstoß gegen die Datenschutzgrundverordnung („DSGVO“). Wie funktioniert das Konzept und mit welchen Bußgeldern müssen Unternehmen bei DSGVO-Verstößen rechnen?

Wie Bußgelder berechnet werden

Zunächst wird ausgehend vom gesamten weltweit erzielten Jahresumsatz ein Tagessatz ermittelt (Umsatz/360 = Tagessatz). Je nach Schwere des Verstoßes wird der Tagessatz mit einem bestimmten Faktor multipliziert.

Ein Beispiel: Ein Unternehmen mit einem weltweit erzielten Jahresumsatz von 10 Milliarden Euro hat die betroffenen Personen nicht gemäß Art. 13/14 DSGVO informiert.

Schritt 1: Man bestimmt den Tagessatz basierend auf dem gesamten weltweit erzielten Jahresumsatz. Bei einem Umsatz von 10 Milliarden Euro würde der Tagessatz 27 Millionen Euro betragen.

Schritt 2: Die Verstöße werden als leicht, mittel, schwer oder sehr schwer eingestuft.

Dabei berücksichtigt man die Aspekte von Art. 83 Abs. 2 DSGVO – also u.a. Art, Schwere und Dauer des Verstoßes, den vorsätzlichen oder fahrlässigen Charakter des Verstoßes, Maßnahmen zur Schadensminderung, Grad der Verantwortung des Unternehmens unter Berücksichtigung der Sicherheitsmaßnahmen, einschlägige frühere Verstöße.


Stuft man die Verletzung als „mittel“ ein, ergibt sich ein Multiplikator von 4 bis 8 für den Tagessatz. Damit könnte die Geldbuße wegen eines Verstoßes gegen Art. 13/14 DSGVO zwischen 108 Millionen und 216 Millionen Euro liegen (das ist der Tagessatz von 27 Millionen Euro multipliziert mit vier = 108 Millionen, und der Tagessatz von 27 Millionen Euro multipliziert mit acht = 216 Millionen Euro).

Gemäß Art. 83 DSGVO dürfen die Geldbußen bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes betragen – je nachdem, welcher der Beträge höher ist. Das Konzept der DSK berücksichtigt den weltweit erzielten Jahresumsatz nicht nur als Berechnungsgrundlage für die Obergrenze. Der weltweit erzielte Jahresumsatz ist vor allem ein Maß dafür, ob die Geldbuße angemessen ist.

Erste hohe Bußgelder wurden bereits verhängt.

Kein Löschkonzept vorhanden

Am 5. November 2019 veröffentlichte die Berliner Datenschutzbeauftragte eine Pressemitteilung, wonach sie einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen ein Immobilienunternehmen erlassen hat. Laut Berliner Datenschutzbeauftragte hatte das Immobilienunternehmen kein angemessenes Löschkonzept parat und hatte Kundendaten unbefristet aufbewahrt, inkl. Finanzdaten und sensibler Daten.

Die Berliner Datenschutzbeauftragte stellte 2017 den Verstoß fest und sprach die dringende Empfehlung aus, Korrekturmaßnahmen zu ergreifen. Bei einem weiteren Prüftermin 2019 stellte die Berliner Datenschutzbeauftragte fest, dass das Unternehmen diese Maßnahmen nicht umgesetzt hatte. Die Geldbuße verhängte die Berliner Datenschutzbeauftragte wegen des Verstoßes gegen Art. 25 und Art. 5 DSGVO zwischen Mai 2018 und März 2019.

Keine hinreichenden technisch-organisatorischen Maßnahmen

Am 9. Dezember 2019 veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit eine Pressemitteilung, wonach er gegen einen Telekommunikationsdiensteanbieter eine Geldbuße in Höhe von 9,55 Millionen Euro ausgesprochen hat.

Die Begründung lautete, das Unternehmen habe keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, da Anrufer bei der Kundenbetreuung allein durch Angabe des Namens und des Geburtsdatums weitere Informationen zu personenbezogenen Kundendaten erhalten konnten.

Author

Julia Kaufmann ist Partner bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern

Author

Michaela Nebel ist Partner bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern