DQS im Dialog
DQS Website Abonnieren

DSGVO: STRAFEN BEI DATENSCHUTZVERLETZUNGEN

Seit dem 25. Mai 2018 wird (neben dem Bundesdatenschutzgesetz – BDSG neu) die EU-Datenschutz-Grundverordnung (DS-GVO) angewendet. Nach bald anderthalb Jahren zeigt sich: Das Bewusstsein für Datenschutz hat deutlich zugenommen, die Unsicherheit bei der Umsetzung der Richtlinie in belastbare Maßnahmen besteht jedoch weiter. Zumindest bei der Höhe der Geldstrafen bei Verstößen gegen die DS-GVO herrscht jetzt etwas mehr Klarheit: Im Oktober 2019 hat die Datenschutzkonferenz ihr Konzept zur Zumessung von Bußgeldern vorgelegt.
© fotolia Verstoß gegen DS-GVO - Geldbußen bei Verstoß

DS-GVO: Erfolg für den Datenschutz oder Hürde für Künstliche Intelligenz und Digitalisierung?

Die Meinungen, ob die DS-GVO ein Erfolg für den Datenschutz ist, oder eher eine Hürde für Künstliche Intelligenz (KI) und Digitalisierung, gehen auseinander. Es liegt in der Natur der Sache: Aus der Sicht derjenigen, für die die neue Datenschutzgrundverordnung erarbeitet wurde, ist die Umsetzung der Richtlinie auf jeden Fall ein Erfolg. Privatpersonen können sich freuen, dass der Umgang mit ihren personenbezogenen Daten nun deutlich strenger geregelt ist als je zuvor und dass sie die Kontrolle über ihre eigenen Daten wenigsten in Teilen wieder zurückerlangt haben.

Kleine Unternehmen haben es schwerer

Auf der anderen Seite stehen jene, die in ihrem Berufsalltag mit personenbezogenen Daten umgehen. Für diese Unternehmen ist ein spürbarer Mehraufwand bei der Datenverarbeitung entstanden, der zur Einhaltung der DSGVO unumgänglich ist – allem voran das Verarbeitungsverzeichnis nach Artikel 30 DSGVO, das u.a. Auskunft über die Herkunft und Verwendung personenbezogener Daten geben muss – aber auch darüber, wie ein Löschkonzept aussieht. Auch z. B. die Ernennung eines Datenschutzbeauftragten und – initial – zum Beispiel die Durchführung von GAP-Analysen im Zuge eines DS-GVO Datenschutzaudits sind zusätzliche Belastungen.

Gleichbehandlung?

Hier kommt ein Stück weit auch die Gleichbehandlung von kleinen und mittleren Unternehmen (KMU) sowie Großkonzernen ins Spiel, die im Ergebnis eher Ungleichheit schafft – schon deshalb, weil es kleinen Betrieben schwerer fällt, personenbezogene Daten lückenlos DS-GVO-konform zu verarbeiten. Aber auch hier gibt es Best Practice-Beispiele.

Großunternehmen verfügen meist über entsprechende Fachkräfte, die die Einhaltung der Verordnung weitgehend sicherstellen können. Oft verfügen Konzerne auch über leistungsfähigere IT-Systeme, mit denen die Umsetzung der Verordnung leichter zu bewerkstelligen ist. Im Mittelstand hingegen herrscht eine gewisse Unklarheit, in welchen Fällen und auf welche Weise die Datenschutz-Grundverordnung korrekt umzusetzen ist.

Risiko von Strafen

Auch das Risiko, bei einer „versehentlichen“ Datenschutzverletzung von den Aufsichtsbehörden mit einem empfindlichen Bußgeld belegt zu werden, hat zwangsläufig zugenommen. Dies belastet Kleinstunternehmen trotz Umsatzbezug der Strafzahlungen finanziell womöglich stärker als große Unternehmen – einfach deshalb, weil die Decke in dieser Hinsicht dünner ist.

Mit dieser Diskrepanz zwischen großen und kleinen Unternehmen ist aus der erwarteten Rechtssicherheit bisweilen eine große Rechtsunsicherheit für die Kleinen geworden. So fordern vor allem Kleinstbetriebe noch immer teils unnütze Einverständniserklärungen von ihren Kunden ein, selbst wenn sie gar nicht zum Kreis der Betroffenen zählen – quasi in vorauseilendem Gehorsam.

Konzept liegt vor: Geldstrafen bei Datenschutzverletzungen

Zumindest bei der Höhe finanzieller Sanktionen bei Verstößen gegen die DSGVO herrscht jetzt etwas mehr Klarheit: Im Oktober 2019 hat die Datenschutzkonferenz (DSK) ihr Konzept zur Zumessung von Strafen vorgelegt – Pflichtlektüre mit wichtigen Antworten für jeden Verantwortlichen im Sinne des Art. 24 DS-GVO.

„Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“

PDF zum Download auf der Internetseite der DSK

Die DSK hat sich auf ein Konzept verständigt, das die Bemessung von DSGVO-Bußgeld in Verfahren gegen Unternehmen regelt. Damit haben sich die Datenschutzaufsichtsbehörden auf eine einheitliche Vorgehensweise geeinigt, um Bußgelder systematisch, transparent und nachvollziehbar zu bemessen und zu verhängen.

Die DSK betont zugleich, dass der Bußgeldkatalog auf Fortentwicklung angelegt sei. Hintergrund sind die noch laufenden europaweiten Abstimmungen mit dem Ziel einer Leitlinie des Europäischen Datenschutzausschusses (EDSA). In der Konsequenz gilt das nun vorliegende Konzept auch nicht zur Bußgeldbemessung bei grenzüberschreitenden Fällen oder etwa zur bindenden Orientierung anderer europäischer Datenschutzbehörden.

Über die Datenschutzkonferenz (DSK)

Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Quelle: https://www.datenschutzkonferenz-online.de/dsk.html

Das Sanktionskonzept im Überblick

Basis bei der Bemessung von Bußgeldern ist der Umsatz eines Unternehmens. Unternehmen werden dafür in einem ersten Schritt in vier Größenklassen unterteilt.

1. Kategorisierung der Unternehmen nach Größenklassen

  • Kategorie A: Kleinstunternehmen mit einem Jahresumsatz bis 2 Mio. Euro
  • Kategorie B: Kleine Unternehmen mit einem Jahresumsatz über 2 Mio. Euro bis 10 Mio. Euro
  • Kategorie C: Mittlere Unternehmen mit einem Jahresumsatz über 10 bis 50 Mio. Euro
  • Kategorie D: Großunternehmen mit einem Jahresumsatz über 50 Mio. Euro

„Ziel des Konzepts ist es, den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“

Pressemitteilung der DSK vom 16.10.2019

Alle vier Kategorien erfahren eine weitere Unterteilung nach Umsatzstufen innerhalb der Hauptkategorie, um Unternehmen für die Bemessung einer Strafe noch detaillierter einordnen zu können. Beispiele:

  • Ein kleines Unternehmen der Kategorie B mit einem erzielten Jahresumsatz zwischen 5 Mio. und 7,5 Mio. Euro fällt dann unter die Kategorie B.II
  • und ein Großunternehmen mit einem erzielten Jahresumsatz über 200 Mio. bis 300 Mio. Euro unter die Kategorie D.IV

2. Bestimmung des mittleren Jahresumsatzes

Im zweiten Schritt erfolgt die Bestimmung des mittleren Jahresumsatzes der jeweiligen Unterkategorie der Größenklasse. Der mittlere Jahresumsatz ist Grundlage für die Ermittlung des wirtschaftlichen Grundwertes. Beispiele:

  • Für das Unternehmen der Größenklasse B.II ist der mittlere Jahresumsatz auf 6,25 Mio. Euro festgelegt,
  • für das Großunternehmen der Kategorie D.IV ist der mittlere Jahresumsatz auf 250 Mio. Euro festgelegt.

3. Ermittlung des wirtschaftlichen Grundwertes

Mit der Formel für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz durch 360 Tage geteilt. Im Ergebnis entsteht ein durchschnittlicher Tagessatz. Beispiele:

  • Der durchschnittliche Tagessatz für das Unternehmen der Größenklasse B.II beläuft sich auf rund 17.361 Euro,
  • der durchschnittliche Tagessatz für das Großunternehmen der Kategorie D.IV beläuft sich auf 694.444 Euro.

4. Multiplikation des Grundwertes nach Schweregrad der Tat

Hier zeigt das Konzept der DSK anhand einer weiteren Tabelle auf, mit welchem Faktor der durchschnittliche Tagessatz multipliziert wird. Orientierungspunkte für die Festlegung des Faktors ist der Schweregrad – leicht, mittel, schwer oder sehr schwer – und die Einordnung in formelle bzw. materielle Verstöße gegen die DS-GVO. Beispiele:

  • Bei einem schweren materiellen Verstoß eines Unternehmens der Größenklasse B.II kann der Faktor 8 bis 12 durchschnittliche Tagessätze zur Anwendung kommen,
  • bei einem leichten formellen Verstoß eines Großunternehmens der Kategorie D.IV kann der Faktor 1 bis 2 durchschnittliche Tagessätze zum Tragen kommen.

5. Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände

In diesem Schritt werden noch einmal alle tatbezogenen Umstände erwogen und können – z.B. bei drohender Zahlungsunfähigkeit eines Unternehmens – Einfluss auf den Grundwert nehmen.

Datenschutzaudit DS-GVO: GAP-Analyse

Bei einem Datenschutzaudit durch die DQS können Sie den sicheren und integren Umgang mit personenbezogenen Daten in Ihrer Organisation überprüfen lassen. Ihr Nutzen:

  • interne Nachweisführung über den Umsetzungsgrad von Datenschutzmaßnahmen
  • mehr Handlungs- und Rechtssicherheit bei Datenschutzvorfällen

 

Unverbindlich und kostenfrei: Angebot anfordern!

Strafgeldkonzept DS-GVO: Verbindlich von A bis Z?

Wer das Bußgeldkonzept aufmerksam studiert, stellt fest, dass die Autoren mit einiger Sorgfalt versucht haben, möglichst „gerechte“ Kategorien und Eingruppierungen zu schaffen. Zugleich geht der Schritt 5 aber auch wieder in Richtung einer Relativierung. Vor allem aber stellt die Datenschutzkonferenz unmissverständlich klar, dass Gerichte bei der Festlegung des Strafmaßes nicht an das Konzept gebunden seien.

„Die (…) Datenschutzaufsichtsbehörden (…) können jederzeit eine Aufhebung, Änderung oder Erweiterung ihres Konzepts (…) beschließen. Das Konzept verliert zudem seine Gültigkeit, sobald der EDSA seine abschließenden Leitlinien zur (…) Festsetzung von Geldbußen erlassen hat.“

Aus der Einleitung zum Bußgeldkonzept der Datenschutzkonferenz.  

Auch greift das Konzept dann nicht, wenn es um Anzeigen zu grenzüberschreitenden Fällen geht. Insgesamt räumt die DSK selbst ein, dass die Leitlinien nicht erschöpfend seien und die Konkretisierung der Festsetzungsmethodik den späteren Leitlinien des EDSA vorbehalten bleibe.

Auf einen Blick

In Summe kann die DS-GVO nach anderthalb Jahren als (Teil-)Erfolg angesehen werden. Privatleute haben die Kontrolle über ihre personenbezogenen Daten ein Stück weit zurückerhalten, für den eher geringen Preis, nun ein paar Häkchen mehr im Internet setzen zu müssen und damit ihre Zustimmung zum Umgang mit ihren Daten zu geben.

Unternehmen haben zwar einen gewissen Mehraufwand zu verzeichnen, der allerdings je nach Größe und Branche, in Organisationen unterschiedlich spürbar wird. Kleine Unternehmen haben im Prinzip denselben Aufwand zu betreiben wie große, was bisweilen als verborgene Ungleichbehandlung gedeutet wird.

Das Konzept der Datenschutzkonferenz zu finanziellen Sanktionen kann in Deutschland als erste und auch recht konkrete Orientierung zu den finanziellen Dimensionen bei Verstößen gegen die DS-GVO dienen. Insbesondere vor dem Hintergrund der ausstehenden europäischen Regelung zu Bußgeldern wird das Konzept jedoch sicherlich noch eine Reihe von Änderungen erfahren. Schwächen oder wenigstens Unklarheiten enthält das Konzept u.a. in folgender Hinsicht:

  • Muss jeder Verstoß bußgeldbewährt sein? Entfällt die Möglichkeit, zunächst eine Verwarnung auszusprechen?
  • Bleibt das Prinzip der Verhältnismäßigkeit gewahrt?
  • Wie werden Sonderfälle behandelt – etwa Unternehmen mit einem negativen Umsatz
  • Sind die Schritte 4 und 5 ausreichend konkret?
  • Wird der in Art. 83 DSGVO geforderten Einzellfallbetrachtung Rechnung getragen?

Zu diesen und anderen Fragen hat Bitkom, der Digitalverband Deutschlands, eine Kommentierung angekündigt.

Fazit: Für große Unternehmen dürfte die DS-GVO aufgrund vorhandener Ressourcen keine allzu große Herausforderung sein. Insgesamt lässt sich sagen, dass das prophezeite Chaos nicht eingetreten ist, und sowohl Abmahnungen als auch die von Aufsichtsbehörden verhängten Bußgelder nach Datenschutzverletzungen in der Masse unter den (negativen) Erwartungen in Millionenhöhe geblieben sind.

Bisheriger Spitzenreiter mit der höchsten Sanktion dürfte Google mit 50 Millionen Euro Bußgeld sein, gefordert von französischen Behörden wegen „Intransparenz“. Von British Airways war jüngst zu hören, dass die zuständige Behörde in UK nach einem Verstoß 200 Millionen Euro wegen nicht gesicherter Kundendaten verlangt hat. Ansonsten gilt das Bußgeldaufkommen als überschaubar. Insgesamt gilt der Bußgeldkatalog der Datenschutzbehörden als erster Wurf, der zugleich aber noch viele Fragen aufwirft.

Bemängelt wird jedoch, vor allem von Verbänden, dass sich die DS-GVO als Standortnachteil für jene Unternehmen erweisen könnte, die auf KI und fortgeschrittene Digitalisierung, also auf sogenannte Zukunfts-Technik, setzen. Ob dies tatsächlich der Fall sein wird, ist derzeit ungewiss.

Sie haben Fragen? Kontaktieren Sie uns!

Unverbindlich und kostenfrei die Informationen einholen, die Sie benötigen.

Anfrage jetzt senden.