Geschrieben am 17.10.2019 von:
Auf der Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich die Experten mit der Entwicklung eines neuen Bußgeldmodells befasst. Dabei handelt es sich um ein mehrstufiges Verfahren, in das verschiedene Parameter von Unternehmensumsatz bis Schwere des Datenschutzverstoßes einbezogen werden.
Ein erster Überblick
Bei der Bemessung eines Bußgelds sollen 5 Schritte durchlaufen werden: zunächst wird auf Basis des Umsatzes der zu zahlende Tagessatz errechnet. Anschließend wird der Ausgangsschweregrad erfasst, um einen Multiplikationsfaktor für den Tagessatz zu ermitteln. Dieser beträgt mindestens 1 und kann auf über 14,4 steigen.
Danach wird die Tatschwere anhand der Art und Weise des Verstoßes ermittelt. Als nächstes bewerten die Behörden die sonstigen relevanten Bußgeldbemessungskriterien des Art. 83 Abs. 2 DSGVO. Abschließend wird geprüft, ob noch weitere, bislang unbeachtete, erschwerende oder mildernde Umstände vorliegen. Erst dann wird die Höhe des Bußgeldes festgesetzt.
Schritt 1: die umsatzbasierte Ermittlung des Tagessatzes
Zur Verhängung von Bußgeldern nach Art. 83 Abs. 2 DSGVO wird zuerst ein Grundwert gebildet. Dieser dient als Ausgangspunkt für spätere Berechnungen und ergibt sich aus dem Gesamtumsatz des Vorjahres geteilt durch 360. Das Ergebnis ist der sogenannte Tagessatz.
Beträgt der Umsatz eines Unternehmens weniger als 500 Millionen EUR, so wird dieser nicht zur Berechnung des Tagessatzes herangezogen. Stattdessen erfolgt eine Zuordnung in eine bestimmte Größenklasse. Um daraus den korrekten Tagessatz zu ermitteln, wird der durchschnittliche Jahresumsatz der entsprechenden Größenklasse zur Hand genommen und durch 360 geteilt.
Schritt 2: Der Multiplikationsfaktor
Im darauffolgenden Schritt wird die Ausgangsschwere des Verstoßes ermittelt und anhand dessen ein Faktor festgelegt, mit dem der Tagessatz multipliziert wird. Dieser Faktor liegt je nach Schwere des Verstoßes zwischen 1 und 14,4. In Ausnahmefällen kann dieser Faktor von 14,4 sogar überschritten werden. Unterteilt ist das Ganze in 5 Kategorien:
- Leichter Verstoß: Faktor 1 bis 4
- Mittlerer Verstoß: Faktor 4 bis 8
- Schwerer Verstoß: Faktor 8 bis 12
- Sehr schwerer Verstoß ohne Höchstfaktor: Faktor ab 12
- Sehr schwerer Verstoß mit Höchstfaktor: Faktor 12 bis 14,4
Entscheidend für die Einordnung in die jeweilige Gruppe soll neben Art. 83 Abs. 4, 5 und 6 DSGVO vor allem der Unrechtsgehalt der Tat sein. Letzteres bedeutet, dass eine fälschlicherweise versendete Werbe-E-Mail weniger schwerwiegende Sanktionen als der unberechtigte Weiterverkauf von personenbezogenen Daten zur Folge hätte.
Für Unternehmen, deren Jahresumsatz die 500 Millionen EUR-Marke überschreitet, ergibt sich eine Bußgeldbegrenzung aus der DS-GVO. Laut der Datenschutzkonferenz entsprechen die Faktoren 7,2 und 14,4 den in Art. 83 Abs. 4 und 5 DS-GVO festgelegten Obergrenzen von 2 beziehungsweise 4 Prozent des Jahresumsatzes. Diese Werte dürfen bei der Berechnung eines Bußgelds nicht überschritten werden, weil das den von der DS-GVO gesetzten Rahmen sprengen würde.