Datenschutzaufsichtsbehörden legen gemeinsames Konzept zur Bußgeldzumessung vor

PrintMailRate-it

veröffentlicht am 30. Oktober 2019

 

Quelle: Datenschutzkonferenz, 14.10.2019 und Pressemitteilung, 16.10.2019

 

Die Datenschutzbehörden der Länder haben aktuell ein gemeinsames Konzept zur Zumessung von Bußgeldern bei Datenschutzverstößen verabschiedet. Neben dem Jahresumsatz des betreffenden Unternehmens wirkt sich dabei als Faktor auch die Schwere des Verstoßes aus. Insgesamt gesehen deutet das Konzept auf eine erhebliche Verschärfung der Bußgeldpraxis hin.

 

Die datenschutzrechtlichen Aufsichtsbehörden werden in der DSGVO dazu verpflichtet, die Einhaltung des Datenschutzrechts bei Verstößen auch mit Hilfe von Bußgeldern durchzusetzen. Nach Art. 83 Abs. 5 DSGVO drohen Geldbußen von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahrs u.a. bei Verstößen gegen die Grundsätze der Verarbeitung oder bei Missachtung der Betroffenenrechte. Für weniger schwere Verstöße werden in Art. 83 Abs. 4 DSGVO Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes angedroht.


Eine der ersten aufsehenerregenden Bußgeldentscheidungen in dem Zusammenhang war diejenige der portugiesischen Datenschutzbehörde im Oktober 2018 über ein Bußgeld von 400.000 EUR gegenüber einem Krankenhaus. Nach anfänglicher Zurückhaltung bekundeten auch die deutschen Aufsichtsbehörden, dass sie sukzessive von einfachen Hinweisen an die Verantwortlichen mehr und mehr auch dazu übergehen werden, Bußgelder zu verhängen. Der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, habe bereits einige Kliniken bei erheblichen Verstößen gewarnt, dass sie im Wiederholungsfall eines Verstoßes mit Bußgeldern zu rechnen hätten, wie das Handelsblatt im Januar 2019 geschrieben hatte.


Die Ausübung der Datenschutzaufsicht ist in Deutschland auf die Datenschutzbehörden der Bundesländer und auf den Bundesdatenschutzbeauftragten aufgeteilt. Um eine bundesweit einheitliche Anwendung der Bußgeldvorschriften bei gleichartigen Verstößen zu ermöglichen, hat sich die Datenschutzkonferenz als Gremium aller deutschen Datenschutzaufsichtsbehörden im Oktober 2019 auf ein gemeinsames Konzept zur Bußgeldzumessung bei Datenschutzverstößen verständigt.

 

Bussgeldermittlung in 5 Schritten

Das Konzept sieht eine Ermittlung des Bußgeldes in fünf Schritten vor. In den ersten beiden Schritten wird das Unternehmen einer Größenklasse und anschließend einer Untergruppe der betreffenden Größenklasse zugeordnet. Die Einstufung umfasst dabei insgesamt 20 Unterkategorien und reicht vom Kleinstunternehmen mit weniger als 700 TEUR Jahresumsatz bis zum Großunternehmen mit über 500 Mio. Euro Jahresumsatz.


Im dritten Schritt wird dann für das betreffende Unternehmen auf dieser Grundlage ein sogenannter „wirtschaftlicher Grundwert” im Sinne eines Tagessatzes ermittelt. Dieser geht von dem mittleren Umsatz der betreffenden Unternehmenskategorie aus. Er beträgt für die Unternehmen der kleinsten Kategorie 972 Euro. Für die Unternehmen der größten Kategorie bemisst er sich nach dem tatsächlichen individuellen Jahresumsatz.

 

Aus dem Newsletter

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu