Ist man in der Vergangenheit von Unternehmen gefragt worden nach welchen Maßstäben Aufsichtsbehörden die Höhe der verhängten Bußgelder festsetzen, konnte man hierauf bisher kaum eine seriöse Antwort darauf geben. Zu neu ist die DSGVO, zu selten sind bisher Bußgelder verhängt worden um hieraus Kriterien abzuleiten. Dies hat sich jetzt scheinbar geändert, da sich die Behörden auf ein Berechnungsmodell geeinigt haben. Und das hat es in sich. Demnach könnten Unternehmen auch hierzulande Millionenstrafen drohen.
Im Rahmen der sog. “Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder”, die bereits im Juni stattfand, wurde über das Berechnungsmodell diskutiert. Einige Behörden, so z. B. die Landesbeauftragte für den Datenschutz Niedersachsen, arbeiten bereits nach diesem Modell, was eine Reaktion der deutschen Behörden auf das Modell zur Berechnung der Bußgeldhöhe der französischen Datenschutzaufsichtsbehörde CNIL darstellt.
Berechnung aus Tagessatz zzgl. Multiplikatoren
Zunächst wird aufgrund des Jahresvorumsatzes des Unternehmens ein Tagessatz errechnet, der, abhängig von dem Schweregrad eines Verstoßes, mit einem Faktor zwischen 1 bis 4 multipliziert wird. Der Schweregrad selbst wird anhand eines Punktesystems ermittelt, der z. B. die Dauer des Verstoßes, Anzahl der betroffenen Personen, sowie das Ausmaß des Schadens berücksichtigt.
Grad des Verschuldens und Wiederholungstäter
Darüber hinaus findet der Grad des Verschuldens Einfluss bei der Berechnung der Höhe des verhängten Bußgeldes. Einfache Fahrlässigkeit wirkt sich nicht, Vorsatz hingegen um 50% bußgelderhöhend aus. Geringe oder unbewusste Fahrlässigkeit senkt die Höhe wiederum um 25%.
Zudem überprüft die Aufsichtsbehörde, ob das Unternehmen bereits in der Vergangenheit aktenkundig geworden ist und erhöht die Summe z. B. bei drei oder mehr Verstößen um einen Aufschlag von 300%.
Mindernd wiederum können sich zudem weitere Umstände auswirken, beispielsweise welche Maßnahmen das Unternehmen bereits ergriffen hat, um Schaden zu mindern sowie wie die Behörde die Zusammenarbeit mit dem Unternehmen beurteilt.
Deutschland bisher im moderaten Bereich
Führt man sich die verhängten Bußgelder anderer europäischer Aufsichtsbehörden vor Augen wird klar, dass die deutschen Datenschutzbehörden bisher in einem eher moderateren Bereich agiert haben was die Bußgeldhöhe angeht. Hier ging es zumeist um Sanktionen im fünfstelligen Bereich, was angesichts der Millionenstrafen in anderen Ländern (z. B. Frankreich gegen Google 50 Millionen; Großbritannien 204 Millionen gegen British Airways) geradezu etwas aus dem Rahmen fällt. Dies dürfte sich aufgrund der zu erwartenden Anwendung des oben beschriebenen Berechnungsmodells jedoch nunmehr ändern.
Quelle: Juve.de