Aus iX 12/2019: Wie werden DSGVO-Bußgelder berechnet?

Schon lange ist bekannt: Bei Verstößen gegen die EU-Datenschutzgrundverordnung drohen Unternehmen hohe Bußgelder – in besonders schweren Fällen bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Doch für eine Weile war sich niemand sicher, wie genau die Aufsichtsbehörden die Bußgelder berechnen würden – die Leitlinien des EDSA waren der Öffentlichkeit zunächst nicht zugänglich. Tobias Haar stellt nun in der aktuellen iX 12/2019 das Berechnungsmodell der Datenschutz­konferenz vor.

Zentrales Ziel der Bußgelder ist, dass sie für Unternehmen eine abschreckende Wirkung entfalten. Zunächst traf es die Social-­Media-Plattform ­Knuddels.de wegen im Klartext gespeicherter Passwörter mit 20.000 Euro und den Lieferservice Delivery Hero mit 200.000 Euro, weil er die Daten seiner Kunden nicht nach Wunsch löschte. Doch bei solchen Summen blieb es nicht: In Deutschland erhielt zum Beispiel der Immobilienkonzern Deutsche Wohnen eine Rekordstrafe von 14,5 Millionen Euro. Und im EU-Ausland drohen noch erheblich höhere Strafen.

Die Datenschutzkonferenz (DSK), der Zusammenschluss aller Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland, legte jüngst ein "Konzept [...] zur Bußgeldzumessung in Verfahren gegen Unternehmen" vor. Es sieht fünf Schritte bei der Berechnung vor: Größenklasse des Unternehmens, mittlerer Jahresumsatz der jeweiligen Untergruppe der Größen­klasse, wirtschaftlicher Grundwert, multipliziert mit einem von der Schwere der Tatumstände abhängigen Faktor sowie abschließend Anpassung aufgrund täterbezogener und sonstiger noch nicht berücksich­tigter Umstände.

Alle Details zu diesen fünf Schritten erfahren Unternehmen im Artikel:

• Recht: Bußgeldberechnung bei DSGVO-­Verstößen, iX 12/2019, S. 102

(fo)