Wie wir bereits Anfang September ausgeführt hatten werden wir in der Beratungspraxis immer wieder gefragt, welche Strafen einem Unternehmen bei diesem oder jenem Datenschutzverstoß drohen.
Glich eine Antwort bis zu diesem Zeitpunkt einem reinen Blick in die Glaskugel, haben die Aufsichtsbehörden für den Datenschutz in Deutschland nunmehr ihr Bußgeldkonzept, auf das sie sich, vorbehaltlich etwaiger Leitlinien des Europäischen Datenschutzausschusses (EDSA), geeinigt haben, veröffentlicht.
Um angemessene Bußgelder gegenüber Unternehmen festsetzen zu können sollen die Aufsichtsbehörden folgendeAspekte berücksichtigen:
- Größe des Unternehmens
Zunächst soll ein Unternehmen einer von vier Größenklassen, A bis D, zugeordnet werden. Hierbei wird vor allem der Vorjahresumsatz berücksichtigt. Unternehmen, die weniger als zwei Millionen EUR Jahresumsatz vorweisen konnten, fallen dabei in die kleinste Größenklasse A. In die größte Klasse D fallen hingegen Unternehmen mit einem Jahresumsatz von mehr als 50 Millionen EUR. - Mittlerer Jahresumsatz
Sodann wird der sog. mittlere Jahresumsatz berücksichtigt, um den wirtschaftlichen Grundwert des Unternehmens zu bestimmen. - Wirtschaftlicher Grundwert
Zur Ermittlung wird der mittlere Jahresumsatz durch 360 Tage geteilt und auf diese Weise ein Tagessatz errechnet. - Multiplikation
Nach Ermittlung des Tagessatzes wird der Datenschutzverstoß einem Schweregrad zugeordnet (leicht, mittel, schwer, sehr schwer). Hierdurch kann der errechnete Tagessatz um ein vielfaches multipliziert werden. - Anpassung
Abschließend kann die so errechnete Bußgeldhöhe nochmals unter Berücksichtigung des Einzelfalles samt für und gegen das Unternehmen sprechende Umstände angepasst werden.
Die geschilderte Vorgehensweise scheint im ersten Moment komplex, allerdings kann man nun einigermaßen einschätzen, in welcher Höhe ein Bußgeld ungefähr erwartet werden kann.
So ist beispielsweise für Kleinstunternehmen mit einem Jahresumsatz von bis zu 700.000,00 EUR nun zumindest die grundsätzliche Untergrenze eines Bußgeldes bekannt. Dies beträgt bei solchen Unternehmen, bei einem leichten Verstoß mindestens 972,00 EUR.
Abschließend auch noch eine gute Nachricht für Vereine und Privatpersonen: Das eben erläuterte Bußgeldkonzept soll ausdrücklich nicht für diese gelten. Somit dürften vor allem die meist ehrenamtlich tätigen Verantwortlichen in Vereinen erleichtert sein, die bei Verstößen bereits drakonische Bußgelder befürchtet hatten und in der Vergangenheit aus diesem Grund ihr Amt niedergelegt hatten.