DSGVO: Das müssen Unternehmen bei Verstössen wirklich zahlen

Im Mai 2018 trat die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Vielen Unternehmen hat sie ausser Unsicherheiten nicht viel gebracht. Die Angst vor Bussgeldzahlungen in immenser Höhe - ein Betrag in Höhe von vier Prozent des weltweiten Jahresumsatzes - schwebt wie ein Damoklesschwert über den Firmen.

Am 14. Oktober aber wurden zumindest einige Fragezeichen beseitigt: Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich auf ein einheitliches Verfahren zur zukünftigen Bussgeldzumessung gegenüber Unternehmen verständigt. Dabei wurde ein neues Konzept erarbeitet, das genau aufschlüsselt, wie teuer ein Verstoss wird. Ziel ist es, eine transparente und einzelfallgerechte Form der Bussgeldzumessung zu garantieren.

Auf Basis des weltweit erzielten Vorjahresumsatzes des Unternehmens wird anhand einer Tabelle ein sogenannter wirtschaftlicher Grundwert ermittelt. Er bildet die Grundlage für die weitere Bemessung.

Es gibt dabei verschiedene Grössenklassen, angefangen vom Kleinstunternehmen über kleine und mittlere Firmen bis hin zu grossen Unternehmen (Klassen A, B, C und D). In jeder Kategorie gibt es noch drei bis sieben Untergruppen. Die kleinste Kategorie ist A.I und beinhaltet Firmen mit einem Jahresumsatz von bis zu 700.000 Euro. Die grösste Klasse ist D.VII mit einem Jahresumsatz von über 500 Millionen Euro.

Hier kommt nun die eigentliche Tat ins Spiel. An den ermittelten wirtschaftlichen Grundwert wird ein Multiplikationsfaktor angelegt. Er bemisst sich an der Art, Schwere und Dauer des Verstosses und kann bei formellen Verstössen (fehlende Vereinbarung über eine Auftragsverarbeitung etc.) einen Wert zwischen eins und sechs haben.

Bei einem materiellen Verstoss (unzureichende Umsetzung von Betroffenenrechten etc.) kann sich der Faktor bis auf den Wert 12 erhöhen - bei einem sehr schweren Verstoss sogar bis zu einem Wert von 14,4 (vier Prozent des Jahresumsatzes).

Der so berechnete Betrag wird dann unter Berücksichtigung aller sonstigen Umstände, die für und gegen das betroffene Unternehmen sprechen, für den Einzelfall angepasst. Diese Umstände können täterbezogene Kriterien sein, aber auch eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.

Experten rechnen damit, dass auf Basis dieses Modells in Zukunft mit weitaus höheren Sanktionen zu rechnen sein wird als es bislang der Fall war. Auch bei kleinen und mittleren Unternehmen können bei "nur" mittelschweren Verstössen Bussgelder in hohen fünf- bis sechsstelligen Beträgen anfallen.

Die Datenschutzkanzlei Herting Oberbeck skizziert zwei Beispielsfälle:

"Ein Unternehmen hat einen Jahresumsatz von 800.000 Euro (Grundwert: 2.917 Euro). Das Unternehmen beschäftigt verschiedene Auftragsverarbeiter, ohne mit diesen die erforderlichen Verträge abgeschlossen zu haben. Dies könnte als Verstoss gegen formelle Vorgaben mit einem Faktor von vier bewertet werden. Damit würde sich vor einer gegebenenfalls vorzunehmenden Anpassung im Einzelfall ein Bussgeld in Höhe von 11.668 Euro ergeben."
 
"Ein Unternehmen mit einem Jahresumsatz von 28.000.000 Euro (Grundwert: 76.389 Euro) erhebt Daten auf Grundlage einer unwirksamen Einwilligung. Da dies einen Verstoss gegen materielle Vorgaben darstellt, könnte hier ein Faktor von sechs angelegt werden. Ausgangsbetrag des zu verhängenden Bussgeldes wären damit bereits 458.334 Euro."

Das Modell gilt nur für Unternehmen in Deutschland und nicht für einen gemeinnützigen Verein. Gerichte sind nicht an diese Berechnung gebunden, es handelt sich bislang nur um die Grundlage für die Berechnung von Bussgeldern durch die Datenschutzbehörden. Sie soll gelten, bis der Europäische Datenschutzausschuss endgültige Leitlinien erlassen hat.