Am 14.10.2019 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen. Damit ist nunmehr endlich klar, mit welchen Bußgeldern Webseitenbetreiber bei Datenschutzverstößen rechnen müssen.
Grundsätzliches zum Bußgeldkonzept der DSK
Allgemein bekannt ist, dass bei Verstößen gegen die DSGVO bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes als Strafe verhängt werden können. Bei schwereren Verstößen droht sogar das Doppelte. Unklar war bislang jedoch, welche Höhe ein Bußgeld im konkreten Einzelfall haben könnte. Das Konzept der DSK ändert dies nun und gibt den deutschen Datenschutzaufsichtsbehörden eine einheitliche und konkrete Berechnungsgrundlage an die Hand. Außerdem soll das Konzept ganz offensichtlich generalpräventiv auf Unternehmen einwirken und klarstellen, dass mit hohen Bußgeldern zu rechnen ist, wenn die Vorgaben der DSGVO nicht eingehalten werden.
Da das Konzept lediglich ein Modell und kein Gesetz ist, betrifft es nur Bußgeldverfahren gegen Unternehmen, die von deutschen Datenschutzaufsichtsbehörden eingeleitet werden. Es entfaltet keine Bindungswirkung hinsichtlich der Festlegung von Geldbußen durch Gerichte.
Zudem kann das Konzept von der DSK jederzeit wieder aufgehoben, geändert oder erweitert werden. Ferner stellt es lediglich eine Übergangslösung bis zum endgültigen Erlass der Leitlinien zur Methodik der Festsetzung von Geldbußen durch den Europäische Datenschutzausschuss dar. Es bleibt also abzuwarten, wie sich die Situation mit den Bußgeldern weiterentwickelt.
Wie wird das Bußgeld berechnet?
Das Konzept des DSK sieht ein Fünf-Stufen-Verfahren zur Berechnung des konkreten Bußgeldes vor:
Schritt 1:
Das Unternehmen wird anhand seines gesamten weltweit erzielten Vorjahresumsatzes einer von vier Größenklassen (A bis D) zugeordnet, die zur konkreteren Einordnung jeweils in drei Untergruppen (A.I bis A.III, B.I bis B.III usw.) unterteilt sind.
Einteilung nach Jahresumsatz:
Gruppe A: bis 2 Mio. Euro
Gruppe B: 2 bis 10 Mio. Euro
Gruppe C: 10 bis 50 Mio. Euro
Gruppe D: über 50 Mio. Euro
Schritt 2:
Der mittlere Jahresumsatz der Untergruppe, in das das Unternehmen eingeordnet wurde, wird bestimmt.
Schritt 3:
Der wirtschaftliche Grundwert wird ermittelt. Dieser ist die Basis für die weitere Festlegung des Bußgeldes und entspricht dem mittleren Jahresumsatz der Untergruppe, in welche das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und, auf die Vorkommastelle aufgerundet.
Schritt 4:
Aus der Schwere des Datenschutzverstoßes wird ein Multiplikator abgeleitet. Insofern erfolgt anhand der konkreten tatbezogenen Umstände des Einzelfalles eine Einordnung des Schweregrades in leicht, mittel, schwer oder sehr schwer.
Der Kriterienkatalog, der diese möglichen Umstände beschreibt, ist in Art. 83 Abs. 2 DSGVO zu finden. Dazu gehören etwa die Art und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens, die Art und Weise der Zusammenarbeit mit der Aufsichtsbehörde und auch, ob mit dem Verstoß direkte finanzielle Vorteile erlangt wurden.
Zudem wird zwischen „formellen“ (Art. 83 Abs. 4 DSGVO) und „materiellen“ (Art. 83 ABs. 5 u. 6 DSGVO) Verstößen unterschieden. Je nach Art und Schwere des Datenschutzverstoßes liegt der Faktor bei formellen Verstößen zwischen 1 und 6, bei materiellen Verstößen zwischen 1 und 12; bei sehr schweren Verstößen kann der Faktor jeweils sogar noch höher sein.
Schritt 5:
Der Grundwert wird anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände final angepasst. Hierunter fallen insbesondere täterbezogene Umstände sowie sonstige Umstände, beispielsweise eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.
DSGVO-Bußgeld – Ein Berechnungsbeispiel
Das geschilderte Fünf-Stufen-Verfahren ist am Ende nicht so kompliziert, wie es zunächst klingt. Hier ein konkretes Beispiel:
Nehmen wir an, ein Selbständiger hatte einen Vorjahresumsatz von 80.000 €. Damit fällt er in die (unterste) Untergruppe A.I (Jahresumsatz von 0 € bis 700.000 €; Stufe 1), der mittlere Jahresumsatz beträgt folglich 350.000 € (Stufe 2) und der wirtschaftliche Grundwert 972 € (Stufe 3).
Nehmen wir weiter an, es handelt sich um eine falsche Datenschutzerklärung auf der Webseite des Selbständigen. Damit liegt ein Verstoß gegen Art. 83 Abs. 5 lit. b) DSGVO vor. Da der Schweregrad des Verstoßes als „leicht“ einzustufen ist, beträgt der Faktor nach Ansicht der Datenschutzaufsichtsbehörde möglicherweise „nur“ 2 (Stufe 4); eine Anpassung sei nach Ansicht der Datenschutzaufsichtsbehörde nicht angezeigt (Stufe 5).
Damit würde das Bußgeld 1.944 € betragen.
Fazit
Mit dem Bußgeldkonzept der DSK ist nunmehr klargestellt, dass selbst relativ unbedeutende Datenschutzverstöße relevante Bußgelder nach sich ziehen werden. Daher sollten alle Unternehmen schnellstmöglich prüfen oder prüfen lassen, ob sie alle Anforderungen des Datenschutzes, wie zum Beispiel ein korrektes Cookie-Banner, ordnungsgemäß erfüllen. Denn die Datenschutzbehörden werden nicht zufällig, sondern vor allem dann tätig, wenn ihnen Datenschutzverstöße gemeldet werden. Und diese Meldungen kommen in der Praxis oft von unzufriedenen Kunden oder Mitbewerbern, die ihren Konkurrenten auf diesem Wege etwas Schaden zufügen wollen.
Wenn jemand in Deutschland wohnt und steueransässig ist aber seine Webseite nur auf eine andere EU Sprache ist, muss man Datenschutzerklärung und Impressum auf Deutsch haben oder nur in der Sprache der Webseite? Vielen Dank
In romana nu se poate
Strafen sind meiner Kenntnisse nach 20 Mio. EUR und 4% des weltweiten Umsatzes.
Das ist richtig. Darum hatte ich eingangs ja geschrieben, dass bei schwereren Verstößen sogar das Doppelte Bußgeld (als „nur“ zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes) als Strafe droht.