DQS im Dialog
DQS Website Abonnieren

DSGVO: Strafen bei Verstößen gegen den Datenschutz

Seit dem 25. Mai 2018 wird neben dem Bundesdatenschutzgesetz (BDSG neu) auch die EU-Datenschutz-Grundverordnung (DS-GVO) angewendet. Drei Jahre später zeigt sich: Das Bewusstsein für Datenschutz hat spürbar zugenommen, die Unsicherheit der Unternehmen bei der Umsetzung in belastbare Maßnahmen hat abgenommen. Auch herrscht bei der Höhe finanzieller Strafen bei einem Verstoß gegen den Datenschutz mehr Klarheit, seit die Datenschutzkonferenz im Oktober 2019 ihr Konzept zur Zumessung von Geldstrafen bei Datenschutzverletzungen vorgelegt hat. Alles Wichtige und Wissenswerte lesen Sie in diesem Blogbeitrag.
© fotolia DSGVO Strafen bei Verstoß

DSGVO: Erfolg für den Datenschutz oder Hürde für künstliche Intelligenz?

Die Meinungen, ob die Datenschutz-Grundverordnung (DSGVO) ein Erfolg für den Schutz persönlicher Daten ist oder eher eine Hürde für Künstliche Intelligenz (KI) und Digitalisierung, gehen noch immer auseinander. Diese Diskrepanz liegt in der Natur der Sache: Aus der Sicht derjenigen, für die die DSGVO erarbeitet wurde, ist die Umsetzung der Richtlinie zweifelsohne ein Erfolg. Privatpersonen können sich freuen, dass der Umgang mit ihren personenbezogenen Daten und deren Verarbeitung nun deutlich strengeren rechtlichen Vorgaben unterliegt als je zuvor. Und: Dass sie die Kontrolle über ihre eigenen Daten wenigsten in Teilen wieder zurückerlangt haben.

Auf der anderen Seite stehen aber jene, die in ihrem Berufsalltag mit personenbezogenen Daten umgehen. Für diese Unternehmen ist mit der Datenschutz-Grundverordnung ein spürbarer Mehraufwand bei der Datenverarbeitung entstanden, der zur Einhaltung unumgänglich ist – allem voran das Verarbeitungsverzeichnis nach Artikel 30 DSGVO. Das Verzeichnis muss unter anderem Auskunft über die Herkunft und Verwendung personenbezogener Daten geben – aber auch darüber, wie ein Löschkonzept für persönliche Daten aussieht. Auch die Ernennung eines (externen) Datenschutzbeauftragten und initial zum Beispiel die Durchführung von Datenschutzaudits sind zusätzliche Belastungen für betroffene Unternehmen.

Kleine Unternehmen haben es schwerer

Hier kommt ein Stück weit auch die Gleichbehandlung von kleinen und mittleren Unternehmen (KMU) sowie Großkonzernen ins Spiel, denn sie schafft im Ergebnis eher Ungleichheit. Allein deshalb, weil es kleinen Unternehmen schwerer fällt, personenbezogene Daten lückenlos DSGVO-konform zu verarbeiten. Aber auch hier gibt es Best-Practice-Beispiele.

Großunternehmen hingegen verfügen meist über entsprechende Fachkräfte und (externe) Datenschutzbeauftragte, die die Einhaltung der Datenschutz-Verordnung weitgehend sicherstellen können. Oft verfügen Konzerne auch über leistungsfähigere IT-Systeme, mit denen die Datenschutzgesetze leichter umzusetzen sind. Im Mittelstand herrscht demgegenüber eine gewisse Unklarheit, in welchen Fällen und auf welche Weise die DS-GVO korrekt umzusetzen ist, ohne das Bußgelder drohen.

Digital Quality Space 2.0 DQS-Online-Konferenz 2021

DQS Digital Quality Space 2.0

Wir laden ein zum zweiten ONLINE KONGRESS am 24. Juni 2021!

Ihr Treffpunkt rund um Prozesse, Managementsysteme, Normen und Audits! Profitieren Sie vom Expertenwissen hochkarätiger Referent*innen – auch in puncto Datenschutzaudits nach ISO 27701.

Vortragsangebot ansehen. Anmelden. Dabei sein.

DSGVO: Risiko von Strafen bleibt bestehen

Auch hat das Risiko, bei „versehentlichen“ DSGVO-Verstößen von den Aufsichtsbehörden mit einer empfindlichen Strafe belegt zu werden, zwangsläufig zugenommen. Dies belastet Kleinstunternehmen bei Strafzahlungen – trotz Bezug auf den Jahresumsatz – finanziell womöglich stärker als Großunternehmen. Denn es ist davon auszugehen, dass ihre finanziellen Rücklagen geringer sind.

Mit dieser Diskrepanz zwischen großen und kleinen Unternehmen wurde aus der erwarteten Rechtssicherheit anfangs eine große Rechtsunsicherheit für kleine Unternehmen. So forderten vor allem Kleinstbetriebe teils unnütze Einverständniserklärungen von ihren Kunden ein. Selbst dann, wenn sie laut der EU Datenschutz-Grundverordnung gar nicht zum Kreis der Betroffenen zählten. Dies geschah meist in vorauseilendem Gehorsam, um DSGVO-Verstöße und Geldbußen zu vermeiden. Diese Praxis gehört inzwischen aber weitgehend der Vergangenheit an.

OnlineTraining DQS

Umsetzung datenschutzrechtlicher Vorschriften

Spannendes Thema? Mehr dazu in unserer Webinaraufzeichnung

  • Was ist die neue ISO 27701?
  • Welche Anforderungen werden an ein Datenschutz-Managementsystem gestellt?
  • Welche Möglichkeiten der Auditierung gibt es?
Jetzt anschauen!

DSGVO: Strafen bei Datenschutzverletzungen

Was die Höhe der Geldstrafen bei Missachtung des Datenschutzes angeht, so herrscht seit Oktober 2019 Klarheit. Damals hat die Datenschutzkonferenz (DSK) ihr Konzept zur Bemessung einer angemessenen Strafe bei Datenschutzverstößen vorgelegt. Das Konzept der unabhängigen Datenschutzbehörden des Bundes und der Länder regelt seither die Bemessung der DSGVO-Bußgelder in Verfahren gegen Unternehmen. Somit haben sich die Aufsichtsbehörden auf eine einheitliche Vorgehensweise geeinigt, um Geldbußen systematisch, transparent und nachvollziehbar zu bemessen und zu verhängen.

Im Sinne des Art. 24 DS-GVO ist das Konzept der DSK nach wie vor eine Pflichtlektüre mit wichtigen Antworten für jeden Verantwortlichen.

Stellungnahme der Bitkom zum Bußgeld-Konzept

Der Digitalverband Deutschlands, Bitkom, hatte nach Veröffentlichung eine Kommentierung des Konzepts herausgegeben. Lesen lesen Sie eine Zusammenfassung der wichtigsten Punkte in unserem Blogbeitrag.

Die DSK betont zugleich, dass der Bußgeldkatalog auf Fortentwicklung angelegt sei. Hintergrund sind die noch laufenden europaweiten Abstimmungen mit dem Ziel einer Leitlinie des Europäischen Datenschutzausschusses (EDSA). In der Konsequenz gilt das vorliegende Bußgeld-Konzept deshalb auch nicht zur Bußgeldbemessung bei grenzüberschreitenden Fällen oder etwa zur bindenden Orientierung anderer europäischer Behörden für Datenschutz.

„Ziel des Konzepts ist es, den Aufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“

Pressemitteilung der DSK vom 16.10.2019

Hinweis: Über die Datenschutzkonferenz

Die Datenschutzkonferenz (DSK) besteht aus den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen. Quelle: https://www.datenschutzkonferenz-online.de/dsk.html

DSGVO-Strafen: Das Bußgeld-Konzept im Überblick

Die Maximalstrafe für DSGVO-Verstöße liegt bei 20 Millionen Euro oder 4 % des Jahresumsatzes – je nachdem, welcher Betrag höher ist. Die Basis bei der Bemessung der DSGVO-Bußgelder ist also der jährliche Umsatz eines Unternehmens. Dafür werden die Unternehmen in einem ersten Schritt in vier Größenklassen unterteilt.

1. Kategorisierung der Unternehmen nach Größenklassen

Vier Kategorien bemessen am Jahresumsatz eines Unternehmens:

  • A: Kleinstunternehmen mit einem Jahresumsatz bis 2 Mio. Euro
  • B: Kleine Unternehmen mit einem Jahresumsatz über 2 bis 10 Mio. Euro
  • C: Mittlere Unternehmen mit einem Jahresumsatz über 10 bis 50 Mio. Euro
  • D: Großunternehmen mit einem Jahresumsatz über 50 Mio. Euro

Alle vier Größenklassen erfahren jedoch eine weitere Unterteilung nach Umsatzstufen innerhalb der Hauptkategorie, um Unternehmen für die Bemessung einer DSGVO Strafe bei einer Verletzung noch detaillierter einordnen zu können. Beispiele:

  • Ein kleines Unternehmen der Kategorie B mit einem erzielten Jahresumsatz zwischen 5 und 7,5 Mio. Euro fällt dann unter die Kategorie B.II
  • und ein Großunternehmen mit einem erzielten Jahresumsatz zwischen 200 bis 300 Mio. Euro fällt unter D.IV

2. Bestimmung des mittleren Jahresumsatzes

Im zweiten Schritt erfolgt dann die Bestimmung des mittleren Jahresumsatzes der jeweiligen Unterkategorie. Der mittlere Jahresumsatz ist die Grundlage für die Ermittlung des wirtschaftlichen Grundwertes. Beispiele:

  • Für das Unternehmen der Größenklasse B.II ist der mittlere Jahresumsatz auf 6,25 Mio. Euro festgelegt,
  • Für das Großunternehmen der Kategorie D.IV ist der mittlere Jahresumsatz auf 250 Mio. Euro festgelegt.
ISO 27001 trifft DS-GVO

ISO 27001 trifft DS-GVO

Datenschutz im Rahnen der Informationssicherheit – spannendes Thema? Mehr Expertenwissen in unserem kostenfreien Whitepaper.

Jetzt herunterladen und mehr erfahren

3. Ermittlung des wirtschaftlichen Grundwertes

Mit der Formel für die Festsetzung des wirtschaftlichen Grundwertes wird nun der mittlere Jahresumsatz durch 360 Tage geteilt. Im Ergebnis entsteht ein durchschnittlicher Tagessatz. Beispiele:

  • Der durchschnittliche Tagessatz für das Unternehmen der Größenklasse B.II beläuft sich auf rund 17.361 Euro.
  • Der durchschnittliche Tagessatz für das Großunternehmen (D.IV) beläuft sich auf 694.444 Euro.

4. Multiplikation des Grundwertes nach Schweregrad der Tat

Hier zeigt das Bußgeld-Konzept anhand einer weiteren Tabelle auf, mit welchem Faktor der durchschnittliche Tagessatz multipliziert wird. Orientierungspunkte für die Festlegung des Faktors bei DSGVO-Strafen ist der Schweregrad – leicht, mittel, schwer oder sehr schwer – und die Einordnung in formelle bzw. materielle DSGVO-Verstöße. Beispiele:

  • Bei einem schweren materiellen Verstoß eines Unternehmens der Größenklasse B.II kann der Faktor 8 bis 12 durchschnittliche Tagessätze zur Anwendung kommen.
  • Bei einem leichten formellen Verstoß eines Großunternehmens der Kategorie D.IV kann der Faktor 1 bis 2 durchschnittliche Tagessätze zum Tragen kommen.

5. Anpassung des Grundwertes

Die Anpassung des Grundwertes erfolgt anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände. In diesem Schritt werden noch einmal alle tatbezogenen Umstände erwogen und können – zum Beispiel bei drohender Zahlungsunfähigkeit eines Unternehmens – Einfluss auf den Grundwert nehmen.

Wie verbindlich ist das Bußgeld-Konzept?

Wer das Strafgeldkonzept aufmerksam studiert, stellt fest, dass die Autoren mit einiger Sorgfalt versucht haben, möglichst „gerechte“ Kategorien und Eingruppierungen zu schaffen. Zugleich geht der Schritt 5 aber auch wieder in Richtung einer Relativierung. Vor allem aber stellt die Datenschutzkonferenz unmissverständlich klar, dass Gerichte bei der Festlegung des Maßes für eine Datenschutzverstoß-Strafe nicht zwingend an das Konzept gebunden seien.

„Die (…) Datenschutzaufsichtsbehörden (…) können jederzeit eine Aufhebung, Änderung oder Erweiterung ihres Konzepts (…) beschließen. Das Konzept verliert zudem seine Gültigkeit, sobald der EDSA seine abschließenden Leitlinien zur (…) Festsetzung von Geldbußen erlassen hat.“

Aus der Einleitung zum Bußgeld-Konzept der Datenschutzkonferenz.  

Das Konzept greift auch dann nicht, wenn es um Anzeigen zu grenzüberschreitenden Fällen geht. Insgesamt räumt die DSK selbst ein, dass die Leitlinien nicht erschöpfend seien und die Konkretisierung der Festsetzungsmethodik den nach wie vor nicht erstellten Leitlinien des EDSA vorbehalten bleibe.

Bei der Ermittlung einer angemessenen Strafe bei Verstößen gegen die DS-GVO sind also viele Faktoren zu berücksichtigen, die jeweils individuell betrachtet werden müssen. Hier eine kurze Zusammenfassung:

  • Schwere und Dauer der Datenschutzverletzung
  • Art des entstandenen Schadens
  • Anzahl betroffener Personen
  • Vorsatz des Unternehmens
  • Schadensbegrenzungsmaßnahmen
  • Anzahl Einzelverstöße gegen die DSGVO
  • wiederholte DSGVO-Verstöße
  • Kooperation / Verdeckung durch Unternehmen
  • Gründe für Strafminderung
Bußgeld bei Datenschutzverletzungen

Datenschutz-Konform mit ISO 27701

Lassen Sie den sicheren und integren Umgang mit personenbezogenen Daten in Ihrer Organisation anhand von ISO 27701  überprüfen. Ihr Nutzen:

  • interne Nachweisführung über den Umsetzungsgrad von Datenschutzmaßnahmen
  • mehr Handlungs- und Rechtssicherheit bei Datenschutzvorfällen
Unverbindlich und kostenfrei: Kontakt aufnehmen

DSGVO-Strafen auf einen Blick

In Summe kann die Datenschutzgrundverordnung (DSGVO) nach nunmehr drei Jahren als (Teil-)Erfolg angesehen werden. Privatpersonen haben die Kontrolle über ihre personenbezogenen Daten ein Stück weit zurückerhalten. Der Preis dafür ist eher gering: ein paar Häkchen mehr im Internet setzen zu müssen und damit ihre Zustimmung zum Umgang mit ihren Daten zu geben. Einem Verstoß gegen den Datenschutz kann eine Privatperson insofern nun effektiver entgegenwirken.

Unternehmen haben hingegen einen gewissen Mehraufwand zu verzeichnen, um Sanktionen zu vermeiden. Der Aufwand wird allerdings je nach Branche und Größe der Organisationen unterschiedlich spürbar. So haben kleine Unternehmen im Prinzip denselben Aufwand zu betreiben wie große. Dies wird bisweilen als verborgene Ungleichbehandlung gedeutet.

Das Bußgeld-Konzept der Datenschutzkonferenz ist in Deutschland ist eine gute und vor allem konkrete Orientierung zu den finanziellen Dimensionen bei Verstößen gegen die DS-GVO. Vor dem Hintergrund der ausstehenden europäischen Regelung zu Bußgeldern wird das Konzept jedoch in absehbarer Zeit noch Änderungen erfahren. Schwächen respektive Unklarheiten enthält das Konzept unter anderem in folgender Hinsicht:

  • Muss jeder DSGVO-Verstoß bußgeldbewährt sein? Entfällt die Möglichkeit, zunächst eine Verwarnung auszusprechen?
  • Bleibt das Prinzip der Verhältnismäßigkeit dennoch gewahrt?
  • Wie werden Sonderfälle behandelt, zum Beispiel Unternehmen mit einem negativen Umsatz?
  • Sind die Schritte 4 und 5 des Konzepts ausreichend konkret?
  • Wie wird der in Art. 83 DSGVO geforderten Einzelfallbetrachtung Rechnung getragen?

Fazit: DSGVO-Strafen bei Datenschutzverletzungen

Für die meisten Unternehmen ist die DS-GVO aufgrund vorhandener Ressourcen keine allzu große Herausforderung. Aus heutiger Sicht lässt sich sagen, dass das anfangs prophezeite Chaos nicht eingetreten ist, und sowohl Abmahnungen als auch die von Aufsichtsbehörden verhängten DSGVO Geldstrafen nach Datenschutzverstößen in der Masse unter den (negativen) Erwartungen in Millionenhöhe geblieben sind.

Im Jahr 2020 wurden in Deutschland 283 Bußgelder über insgesamt rund 48 Millionen Euro verhängt. 2019 waren es hingegen nur 185 DSGVO-Strafen. Die höchste Bußgeldforderung in Deutschland ging bislang an die Firma H & M mit etwas über 35 Millionen Euro. Hinzu kamen über 26.000 gemeldete Datenpannen. Ansonsten ist das Bußgeldaufkommen vor allem in Deutschland überschaubar.

Der europaweite Rekord liegt bei einem Bußgeld in Höhe von 50 Millionen Euro. Die Anfang 2019 in Frankreich als eine der ersten, gegen Google verhängte Strafe, hat das oberste französische Verwaltungsgericht im Juni 2020 bestätigt. Allerdings wären rein rechnerisch 3,7 Milliarden Euro möglich gewesen – der Spielraum gegen ein Vergehen ist also enorm.

Bemängelt wird, vor allem von Verbänden, noch immer, dass sich die DS-GVO als Standortnachteil für jene Unternehmen erweisen könnte, die auf Künstliche Intelligenz und fortgeschrittene Digitalisierung setzen. Hier gilt es, die Entwicklung im Blick zu behalten.

Bei der DQS in guten Händen

Unternehmen, die auf Nummer Sicher gehen und Geldbußen vermeiden wollen, sollten deshalb den Status ihrer Datenschutzmaßnahmen von einer unabhängigen Stelle wie der DQS ermitteln lassen. Als Grundlage dafür dient die internationale Norm ISO 27701 für ein Datenschutzmanagement.

Der Weg führt über die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 direkt zur Erweiterung nach ISO 27701 und damit zum Datenschutz. Eine anschließende Zertifizierung kann bestätigen, dass die DSGVO-Anforderungen erfüllt werden. Also die optimale Lösung, um die gesetzlichen DSGVO-Anforderungen zu erfüllen.

DSGVO, Datenschutz, Datenschutzgrundverordnung, Grundverordnung, Datenspeicherung, Datenverarbeitung, Compliance, Richtlinie

Gern beantworten wir Ihre Fragen

Sie haben Fragen? Gern zeigen wir Ihnen die Möglichkeiten zu mehr Datenschutz-Konformität auf. Kontaktieren Sie uns. Ganz unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen

Die DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen wurde 1985 als Deutschlands erster Managementsystem-Zertifizierer gegründet. Als einzige große Zertifizierungsgesellschaft fokussieren wir uns seit jeher auf Managementsysteme und Prozesse. So haben wir 1986 das deutschlandweit erste Zertifikat nach ISO 9001, der weltweit bedeutendsten Norm für Managementsysteme, ausgestellt.

Mit unseren Audits verfolgen wir das Ziel, unseren Kunden Impulse für Verbesserungspotenzial zu geben – und zwar über die reine Bewertung der Konformität mit Normen hinaus. Hierfür setzen wir freiberufliche, hochqualifizierte Fach- und Führungskräfte mit entsprechenden Branchenkenntnissen als Auditoren ein. Dabei beginnt unser Anspruch dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort. Wir freuen uns auf das Gespräch mit Ihnen.

EXPERTISE UND VERTRAUEN

Unsere Texte und Broschüren werden ausschließlich von internen Normexperten und langjährigen Auditoren für Managementsysteme verfasst. Sollten Sie also Fragen zum Inhalt und unseren Audits haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.

Alles Weitere zu unseren Experten finden Sie hier.