Ein Bußgeldrechner für die DSGVO: Wird es berechenbar(er) und teuer(er)?

Die deutschen Datenschutzaufsichtsbehörden haben ein Konzept für die Berechnung von Bußgeldern nach der DSGVO entwickelt.

14.09.2019

Wenn es um das Thema Bußgeld nach der DSGVO geht, so hatte man bisher den Eindruck, dass die Bußgelder im Bereich des Datenschutzes nach der folgenden Formel berechnet wurden:

Bußgeld = π x Daumen

Dass dies ein unbefriedigender und auf Dauer auch kein tragbarer Zustand ist, haben die Aufsichtsbehörden bereits vor längerer Zeit erkannt. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in einer Pressemitteilung bekanntgegeben, dass sie derzeit ein Konzept zur Bußgeldzumessung entwickelt. Dieses Konzept wurde bereits sowhl dem Europäischen Datenschutzausschuss (EDSA) als auch innerhalt der DSK vorgestellt. Auf der 2. Zwischenkonferenz 2019 wurde das Konzept mehrheitlich angenommen (vgl. TOP 16 des Konferenzprotokolls). Die π x Daumen-Formel soll also nun um sehr viele weitere Unbekannte „angereichert“ werden, die als entscheidungsrelevante Faktoren bzw. Kriterien herangezogen werden, um – wie die DSK es selbst ausführt – „im Gegensatz zu anderen Modellen eine systematische, transparente und nachvollziehbare Bußgeldbemessung“ zu gewährleisten.

Wie funktioniert die neue Berechnungsmethode?

Aktuell (Stand 18.09.2019) liegen bis auf die Tatsache, dass das neue Modell grundsätzlich angenommen wurde und weiterentwickelt werden soll, keine Veröffentlichungen der Aufsichtsbehörden dazu vor, wie die Berechnungen konkret vorgenommen werden sollen. Die „systematische, transparente und nachvollziehbare“ Formel (des Erfolgs) bleibt für die breite Öffentlichkeit vorerst ein Geheimnis.

Allerdings liegen nach Informationen des Portals JUVE einigen Rechtsanwälten eigenen Angaben zufolge Bußgeldbescheide vor, in denen die Behörden die Berechnungen nach dem erarbeiteten Konzept bereits vorgenommen haben. Hierbei könnte (Achtung: Spekulation)  es sich um erste Probeläufe des neuen Konzepts handeln, bei denen die Akzeptanz oder die Praxistauglichketi sollen. Gemäß den Angaben von JUVE sei die Berechnung sei eines Bußgelds auf jeden Fall nicht so einfach, wie bisher. In die Berechnungsformel würden nun hauptsächlich folgende Faktoren einfließen, die anschließend in einem aufwendigen Verfahren quantifiziert werden:

  1. Tagessatz
    Die Ermittlung erfolgt hier anhand des weltweiten Umsatzes eines/r Unternehmens/Unternehmensgruppe dividiert durch 365 Tage.
  2. Schweregrad des Verstoßes
    Bemessungsfaktoren beim Schweregrad: Dauer des Verstoßes, Anzahl der betroffenen Personen, Schadensausmaß, Maßnahmen zur Schadensminimierung, Zusammenarbeit mit Aufsichtsbehörde (Faktor 1 bis 14,4 je nach Schwere des Verstoßes)
  3. Grad des Verschuldens
    Hierbei sind Erhöhungen oder Minderungen des Verschuldensgrades möglich. Es findet eine prozentuale Anrechnung statt.
  4. Wiederholungszuschlag
    Hierbei soll die Anzahl der bisherigen Datenschutzverstöße berücksichtigt werden, die wiederum auch prozentual angerechnet werden soll. Die Rede ist von zwischen + 50 % (also Faktor 1,5) bei einer einmaligen bis + 300 % (Faktor 4) bei mehrmaliger Wiederholung von Datenschutzverstößen.

Wie die neue Berechnungsformel nun konkret aussieht und wie hart die Behörden durchgreifen werden, kann man mit Gewissheit nur dann sagen, wenn das Modell der Öffentlichkeit vorgestellt wird und die ersten Bußgelder, die auf dieser Grundlage berechnet wurden, bekannt werden. Hier erhoffen wir uns konkrete Informationen von der Konferenz der DSK am 06. und 07. November 2019. Dort soll das Bußgeldkonzept weiter beraten und auch über eine Veröffentlichung entschieden werden.

Bis dahin kann man nur festhalten, dass es zwar berechenbarer aber aller Voraussicht nach auch teurer werden soll. Das, was bisher nur theoretisch möglich war, nämlich die 2 % bis 4 % des weltweiten Umsatzes eines Unternehmens als Bußgeldhöhe, rückt unter der Zugrundelegung der neuen Methode in greifbare Nähe.

Was bedeutet das jetzt in der Konsequenz?

Unter der Zugrundelegung der zurzeit bekannten Berechnungsfaktoren könnte man beispielhaft ein Bußgeld nach der neuen Methode ausrechnen.

Hypothetisches Berechnungsbeispiel:
Ein Unternehmen erwirtschaftet beispielsweise einen Jahresumsatz in Höhe von 10. Mio. Euro. Dividiert durch 365 Tage, ergibt es einen (gerundeten) Grundwert i.H.v. 27.397 Euro.

Berücksichtigt man den Schweregrad, so bliebe es bei einem Schweregrad von 1 bei dem Grundwert von 27.397 Euro (Fall 1 – Mindestwert). Bei einem Schweregrad von 14,4 läge man bereits bei 394.520 Euro (Fall 2 – Höchstwert).

Berücksichtigt man das Verschulden, so würde im Fall der normalen Fahrlässigkeit der Betrag gleich bleiben, die geringe Fahrlässigkeit würde die Summe um 25 % mindern
(Fall 1: 20.547 Euro / Fall 2: 295.890 Euro)

oder aber im Fall des Vorsatzes oder Absicht die Summe um 25 % bis 50 % erhöhen
(Fall 1: 34.246 Euro bei 25 % und 41.095 Euro bei 50 %:  
Fall 2: 369.862 Euro bei 25 % und 591.780 Euro bei 50 %).

Eine Wiederholung des Verstoßes würde die Werte dann jeweils um 50 % bei einer Wiederholung und 150 % bei zwei sowie bis zu 300 % bei drei und mehr Wiederholungen erhöhen.

Wie sorgt man dabei für einen ruhigen Schlaf?

Die Frage ist nun, wie können Verantwortliche trotz solcher Hiobsbotschaften für ruhigen Schlaf sorgen? Die Antwort liegt auf der Hand: Ein wirksames Datenschutzkonzept, ein gelebtes Datenschutz-Managementsystem und nicht zuletzt ein ausgeprägtes Datenschutzbewusstsein sind die besten Voraussetzungen für die angenehme Nachtruhe.

Gerade bei großen Unternehmen sind dabei in Anbetracht der nun eventuell drohenden Bußgelder konkrete Vorbereitungen auf den Worst-Case durch Planung von möglichen Verteidigungsstrategien und Maßnahmen zu empfehlen. Die beste Strategie, hohe Bußgelder zu vermeiden, ist die Vermeidung von Datenschutzverstößen durch ein effizientes Datenschutz-Management. Und selbst wenn dann mal ein Datenschutzverstoß passiert: Aufgrund des guten und dokumentierten Datenschutz-Mangementsystems ist es dann immer noch wahrscheinlich, dass eine geringe Fahrlässigkeit angenommen wird, was sich – wie oben bereits ausgeführt – wieder mindernd auf das zu erwartende Bußgeld auswirkt. Schließlich hat man ja sehr viel getan um einen entsprechenden Datenschutzverstoß zu vermeiden.

Sie möchten wissen, ob Ihr Unternehmen ein ausreichendes Datenschutz-Managementsystem implementiert hat? Sprechen Sie uns an und vereinbaren Sie einen Audittermin!