Neues Bußgeldkonzept der Datenschutzaufsichtsbehörden

Laut der Onlineplattform Wirtschaftswissen.de gibt es ein neues Bußgeldkonzept der Datenschutzaufsichtsbehörden. Dieses teilte das Onlineportal heute per Newsletter mit. Demzufolge wird ein transparentes 5-stufiges Bußgeldermittlungsverfahren. eingesetzt, nach dem Bußgelder für Datenschutzverstöße festgelegt werden.

Die 5 Schritte werden wie folgt beschrieben:

1. Schritt: Zuordnung des Unternehmens zu einer Größenklasse und Untergruppe

Im 1. Schritt wird das betroffene Unternehmen in eine Größenklasse eingeordnet. Es existieren 4 Größenklassen von A bis D. A steht beispielsweise für Kleinstunternehmen mit einem Jahresumsatz bis 2 Millionen €. Und D steht für Großunternehmen mit einem Jahresumsatz über 50 Millionen €.

Diese 4 Größenklassen sind noch einmal in Untergruppen eingeteilt, die sich wieder am Jahresumsatz bemessen. Die Untergruppe A. I umfasst beispielsweise Kleinstunternehmen mit einem Jahresumsatz bis 700.000 €, die Untergruppe A. III Unternehmen mit einem Jahresumsatz von über 1,4 Millionen € bis 2 Millionen €.

2. Schritt: Bestimmung des mittleren Jahresumsatzes der Untergruppe

Im 2. Schritt wird der mittlere Jahresumsatz der Untergruppe, in die das betroffene Unternehmen eingeordnet wurde, bestimmt. Dabei handelt es sich um nichts anderes als die Mitte der jeweiligen Umsatz-Spanne. In der Untergruppe A. I, die ja Unternehmen mit Jahresumsätzen von 0 bis 700.000 € umfasst, liegt der mittlere Jahresumsatz entsprechend bei 350.000 €.

Diese Zahl wird dann in Schritt 3 weiter verwendet. Eine Ausnahme bildet hier die Untergruppe D. VII, die Unternehmen mit einem Umsatz von über 500 Millionen € betrifft. Hier wird der konkrete Umsatz des Unternehmens zugrunde gelegt.

3. Schritt: Ermittlung des Tagesumsatzes als Grundwert

Im 3. Schritt wird anhand des mittleren Jahresumsatzes ein durchschnittlicher Tageswert errechnet, indem der Jahresumsatz durch 360 Tage geteilt wird. Das Ergebnis sieht wie folgt aus:

*Ab einem jährlichen Umsatz von über 500 Millionen € erfolgt die aufgrund des konkreten Umsatzes, wie oben bereits geschildert.

Der hierbei errechnete Tagesumsatz bildet die Grundlage für die endgültige Bußgeldberechnung. Er stellt zugleich den minimalen Bußgeldbetrag für die jeweilige Untergruppe dar.

Bei leichten Verstößen von Kleinstunternehmen der Untergruppe A. I (bis 700.000 € Umsatz) wird das Bußgeld somit 972 € betragen. Allerdings kann es von dieser Regel auch Ausnahmen geben, wie wir in Schritt 5 sehen werden.

4. Schritt: Multiplikation des Tagesumsatzes je nach Schweregrad des Datenschutzverstoßes

Im 4. und vorletzten Schritt wird der errechnete Tagesumsatz je nach Art und Schwere der Tat mit einem bestimmten Faktor multipliziert. Bei leichten formellen Verstößen gemäß Art. 43 Abs. 4 DSGVO liegt der Faktor beispielsweise bei 1 bis 2. Bei schweren materiellen Verstößen gemäß Paragraf 83 Abs. 5 und 6 DSGVO liegt der Faktor hingegen bei 8 bis 12. Bei sehr schweren Verstößen kann er darüber hinausgehen.

Und bei den ganz großen Unternehmen können die Behörden künftig den maximalen Bußgeldrahmen von 20 Million € bzw. 4 Prozent des Welt Jahresumsatzes eines Unternehmens ausschöpfen, je nachdem, was höher ist.

5. Schritt: Berücksichtigung weiterer Umstände als Korrektiv

Im 5. und letzten Schritt kann der im 4. Schritt berechnete Bußgeldbetrag noch einmal nach oben oder unten angepasst werden, soweit es weitere Umstände gibt, die für oder gegen den Betroffenen sprechen. Hier soll beispielsweise die konkrete wirtschaftliche Leistungsfähigkeit berücksichtigt werden, damit es nicht zu einer Zahlungsunfähigkeit des Unternehmens kommt.

Unter Umständen kann es aber eben auch zu einer Erhöhung des Bußgeldes kommen, falls besondere Umstände gegen den Betroffenen sprechen.

Quelle: Newsletter von Wirtschaftswissen.de vom 23.10.2019 – Autor : Wolfram von Gagern – Chefredakteur Datenschutz-Ticker