Die Gerüchte-Küche kocht! Die Datenschutzkonferenz der Datenschutzbehörden der Länder und des Bundes erarbeiten derzeit einen Bußgeldkatalog für Datenschutzverstöße.
Hintergrund
Im Art. 83 Abs.1 DSGVO ist geregelt, dass die zuständige Aufsichtsbehörde für Verstöße gegen die Vorschriften der DSGVO Geldbußen verhängt, die „… in jedem Einzelfall wirksam, verhältnismäßig und abschreckend…“ sein sollen.
Im Art. 83 Abs. 5 DSGVO wird die Obergrenze beziffert mit bis zu 20 Mio. € oder 4% des weltweiten Umsatzes des Unternehmens, je nachdem was höher ist.
Laut einer Pressemeldung1 des DSK vom 17.09.2019 wird derzeit ein Konzept vom DSK erarbeitet, um diese Verhältnismäßigkeit bei der Bemessung von Geldbußen transparent und nachvollziehbar gewährleisten zu können.
Dieses Konzept wird dann, wie in Art 70 Abs. 1 lit. k DSGVO festgelegt, mit den EU-Mitgliedstaaten harmonisiert.
Soweit der offizielle Teil.
Nun kursieren Gerüchte, wie die Bemessung der Bußgelder berechnet werden soll:
Wie oben geschrieben sieht die DSGVO für die Berechnung des Bußgeldes den Umsatz des Unternehmens als Grundlage. Aus dem Unternehmensumsatz wird ein Tagessatz gebildet, in dem der Umsatz des vorherigen Geschäftsjahres durch 360 geteilt wird. Dieser Tagessatz wird dann mit einem Faktor multipliziert. Der Faktor richtet sich nach der Schwere des Verstoßes und bewegt sich zwischen 1 und 14,4 , wobei 14,4 sich als Ergebnis von den geforderten 4% des Umsatzes, dividiert durch den errechneten Tagessatz ergibt.
Bei der Einstufung der Schwere des Datenschutz-Verstoßes bleibt es aber immer noch der Aufsichtsbehörde überlassen, wie der jeweilige Vorfall bemessen wird.
Wenn wir diese „Gerüchte“ als wahr voraussetzen, lassen sich interessante Rechnungen anstellen.
Leider stelle ich immer noch fest, dass gerade kleinere Betriebe die Vorgaben der Datenschutzgesetze völlig ignorieren. Daraus lässt sich ein erstes Bespiel für ein Bußgeld konstruieren:
Ein Handwerksbetrieb beschäftigt neun Mitarbeiter und erwirtschaftet einen Jahresumsatz von 750.000 €. Ein ehemaliger, verärgerter Kunde bekommt von dem Handwerksbetrieb Werbe-E-Mails und fordert den Betrieb auf, dies zu unterlassen. Der Betrieb ignoriert dies und sendet die Werbe-E-Mails weiterhin. Daraufhin meldet der Kunde dies der zuständigen Datenschutzbehörde.
Die Datenschutzbehörde prüft den Betrieb und stellt fest, dass der Betrieb mangels Dokumentation seiner Rechenschaftspflicht lt. Art. 5 Abs. 2 DSGVO nicht nachkommen kann.
Dem Kunden ist zwar kein nennenswerter Schaden entstanden, aber der Betrieb hat die gesetzlichen Vorgaben missachtet. Die Aufsichtsbehörde setzt für die Schwere des Verstoßes den Faktor 7 an und verhängt ein Bußgeld.
Das Bußgeld würde sich so berechnen:
750.000 € Umsatz geteilt durch 360 ergibt einen Tagessatz von 2.083 € multipliziert mit dem Faktor 7 ergibt ein Bußgeld in Höhe von rund 15.000 €!
Ein anderes Beispiel:
Nehmen wir an, ein Mitarbeiter der Personalabteilung eines mittelständigen Betriebs möchte im Homeoffice arbeiten und nimmt eine Excelliste mit den Personaldaten auf einem USB Stick mit. Der nicht verschlüsselte USB-Stick geht verloren und die Gehälter und andere brisante personenbezogene Daten geraten in falsche Hände. Das Unternehmen erwirtschaftete im letztes Jahr 50 MIO € Umsatz.
Meines Erachtens ist das ein schwerer Vorfall, da es sich um sensible Daten handelt, die unverschlüsselt transportiert wurden, was als ein Verstoß gegen Art. 32 ff. DSGVO zu sehen ist. Nehmen wir an, die Aufsichtsbehörde setzt dafür den Faktor 10 an:
50 Mio € Umsatz geteilt durch 360 ergibt einen Tagessatz von 138.889,00 * Faktor 10 ergibt ein Bußgeld von rund 1,4 Mio €!
Wenn dieses Bußgeldkonzept also tatsächlich so zur Anwendung käme, wäre mit sehr hohen Bußgeldern zu rechnen. Laut der o.g. Pressemitteilung des DSK soll über eine Veröffentlichung des Bußgeldkonzepts auf einer Konferenz am 6./7.11.2019 beraten werden.
Es bleibt also weiter spannend!
1 Link zur Pressemeldung des DSK vom 17.09.2019:
https://www.datenschutzkonferenz-online.de/media/pm/20190917_bu%C3%9Fgeldkonzept.pdf
