Datenschutzaufsichtsbehörden entwickeln derzeit ein Verfahren für eine systematische, transparente und nachvollziehbare Bußgeldzumessung. Ergebnis werden wohl deutlich höhere Bußgelder sein, insbesondere für Wiederholungstäter.

Die Frage nach der Bußgeldhöhe im Falle eines Datenschutzverstoßes ließ sich bis dato kaum oder nur äußerst schwer beantworten. Wurden in Deutschland – soweit bekannt – maximal fünfstellige Bußgelder verhängt, sind Frankreich z.B. mit einem Bußgeld in Höhe von EUR 50 Mio. gegen Google und Großbritannien mit einem Bußgeld in Höhe von EUR 204 Mio. gegen British Airways schon jetzt weitaus weniger zurückhaltend. Einheitliche Leitlinien des Europäischen Datenschutzausschusses stehen bisher noch aus.

Vor diesem Hintergrund sind viele Unternehmen verunsichert, da mögliche Bußgelder ein unkalkulierbares Risiko darstellen. Diese Ungewissheit könnte nun ein Ende haben. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erarbeitet gegenwärtig ein Konzept zur Zumessung von Bußgeldern. Dieses befindet sich nach Aussage der DSK zwar noch im Entwurfsstadium, wird derzeit aber bei konkreten Bußgeldverfahren wohl bereits begleitend herangezogen, um es auf seine Praxistauglichkeit und Zielgenauigkeit zu testen.

Nach Abschluss der Konsultationen mit den Datenschutzbehörden der anderen EU-Mitgliedstaaten, erwägen die deutschen Datenschutzbehörden eine Veröffentlichung des Konzepts im November 2019. 

Kern des Konzepts ist es, auf Basis des Unternehmensumsatzes einen Tagessatz zu errechnen, der in Abhängigkeit der Schwere des Datenschutzverstoßes mit einem zuvor definierten Faktor multipliziert wird. Für leichte Verstöße ist ein Faktor von bis zu vier im Gespräch, bei schweren Verstößen von bis zu 14,4.

Darüber hinaus werden auch die verschiedenen Verschuldensgrade berücksichtigt. Leichte Fahrlässigkeit kann zu einer Minderung des Bußgelds von bis zu 25% führen, wohingegen im Falle vorsätzlichen Handelns ein Aufschlag von 50% möglich sein soll.

Für Wiederholungstäter sind zudem Aufschläge von bis zu 300% vorgesehen.

Selbstverständlich werden auch weitere Faktoren, wie beispielsweise die Kooperation mit der jeweiligen Datenschutzaufsichtsbehörde sowie ggf. ergriffene Gegenmaßnahmen in die Berechnung des Bußgeldes einbezogen.

Nachfolgend ein Rechenbeispiel für ein fiktives Unternehmen mit einem Jahresumsatzin Höhe von EUR 7.300.000, 00

Schritt 1: Tagessatz ermitteln
7.300.000,00 dividiert durch 365 Tage = EUR 20.000, 00

Schritt 2: Schweregrad berücksichtigen
Schweregrad von 1 (Mindestwert): EUR 20.000,00 (Fall 1)
Schweregrad von 14,4 (Höchstsatz): EUR 288.000,00 (Fall 2)

Schritt 3: Verschulden berücksichtigen
Berücksichtigt man das Verschulden, so würde im Fall der normalen Fahrlässigkeit der Betrag unverändert bleiben, die geringe Fahrlässigkeit würde die Summe um 25 % mindern.
Fall 1: EUR 15.000,00
Fall 2: EUR 216.000, 00
oder aber im Fall des Vorsatzes die Summe um 25 % bis 50 % erhöhen
Fall 1: EUR 25.000,00 bei 25 %und EUR 30.000,00 bei 50 % 
Fall 2:  EUR 360.000,00 bei 25 % und EUR  32.000, 00 bei 50 %.

Im Wiederholungsfall würden die Werte dann jeweils um 50 % bei einer Wiederholung und 150 % bei zwei sowie bis zu 300 % bei drei und mehr Wiederholungen erhöht werden.

Im Ergebnis sind also auch in Deutschland Bußgelder in Millionenhöhe in Zukunft durchaus wahrscheinlich. Vor diesem Hintergrund sollte beim Umgang mit personenbezogenen Daten umso mehr darauf geachtet werden, dass sämtliche datenschutzrechtliche Vorgaben eingehalten werden. Falls noch nicht geschehen, sollte die eigene Datenschutz-Organisation kritisch geprüft und hinterfragt sowie ggf. verbessert werden.

Darüber hinaus sollten Unternehmen im Falle einer Datenpanne nicht voreilig handeln, sondern sorgfältig prüfen, ob tatsächlich eine Meldepflicht gegenüber den Datenschutz-Aufsichtsbehörden besteht.

Sven-Erik Holm, Rechtsanwalt
Frankfurt am Main