Bußgelder bei DSGVO-Verstößen

Der Europäische Datenschutzausschuss (EDSA) hat am 12.05.2022 neue Leitlinien zur Berechnung von Bußgeldern für Verstöße gegen die DSGVO veröffentlicht. Damit sollen die Bußgelder europaweit vereinheitlichtwerden. Auch die deutschen Datenschutzbehörden sollen sich an das Bußgeldmodell des EDSA halten. Bislang erfolgte die Berechnung der Bußgelder nach den Regelungen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Dabei gab es bei den Bußgeldern starke Unterschiede: Von kleinen Beträgen bis hin zu Geldstrafen in Millionenhöhe war alles möglich.

Mit den Leitlinien der EDSA sollen die Bußgelder gerade für Unternehmen mit hohem Umsatz höher ausfallen als bisher. Das Hauptziel: Abschreckung, damit Unternehmen die DSGVO ernst nehmen und es gar nicht erst zu Datenschutzverstößen kommt.

Nach dem Bußgeldmodell des EDSA werden Bußgelder für DSGVO-Verstöße in fünf Schritten berechnet.

1. Identifizierung des Verstoßes: Zuerst wird ermittelt, welcher Datenschutzverstoß konkret vorliegt.
2. Einordnung des Verstoßes: Der Verstoß wird nach Artikel 83 Abs. 4 bis 6 DSGVO eingestuft, die Schwere des Verstoßes eingeschätzt und der Umsatz des Unternehmens berücksichtigt.
3. Berücksichtigung weiterer Umstände: Anschließend werden weitere verschärfende oder auch mildernde Umstände bei der Bußgeldberechnung berücksichtigt. Wenn das Unternehmen Maßnahmen zum Umgang mit dem Datenschutzverstoß ergreift, kann das als mildernder Umstand gewertet werden.
4. Festsetzung der Höchstbeträge: In einem vierten Schritt werden die gesetzlich vorgegebenen Höchstbeiträge berücksichtigt, die nicht überschritten werden dürfen.
5. Einschätzung des Bußgelds: Im letzten Schritt wird geprüft, ob das aus den vorherigen Schritten errechnete Bußgeld für den Datenschutzverstoß angemessen ist.

Bei der Entscheidung, ob das Bußgeld angemessen ist, spielen die Faktoren

• Wirksamkeit
• Abschreckung
• Verhältnismäßigkeit

eine wichtige Rolle.

Bei Verstößen mit geringer Schwere wird eine Geldbuße mit einem Wert zwischen 0 und 10 % der jeweiligen Höchstbeiträge berechnet, bei mittelschweren Verstößen ein Wert zwischen 10 % und 20 % und bei schweren Verstößen ein Wert zwischen 20 % und 100 %. Dieser Ausgangsbetrag wird korrigiert, abhängig davon, wie hoch der Jahresumsatz des Unternehmens ist.

Nach Art. 83 Abs. 5 DSGVO darf ein Bußgeld für einen Datenschutzverstoß höchstens 10 bzw. 20 Millionen Euro oder 2 % bzw. 4 % des Jahresumsatzes des Unternehmens betragen. Das Bußgeld orientiert sich daran, welcher Betrag höher ist. Durch die Korrektur des Ausgangsbetrags abhängig vom Umsatz des Unternehmens werden kleinere Unternehmen mit weniger Umsatz geschont.

Die Bußgeldberechnung zusammengefasst:

• Berechnung eines Grundbetrags abhängig von der Schwere des Verstoßes.
• Anpassung des Grundbetrags basierend auf mildernden oder erschwerenden Umständen.
• Der angepasste Betrag darf die Höchstbeträge nicht überschreiten.
• Die Verhältnismäßigkeit der Geldstrafe wird geprüft.

Trotz des neuen Berechnungsmodells werden die Geldbußen für Datenschutzverstöße weiterhin schwer kalkulierbar sein. Die Leitlinien reichen nicht aus, um ein Bußgeld exakt zu berechnen, denn es müssen alle Umstände des jeweiligen Einzelfalls berücksichtig werden. Da bei der Bußgeldberechnung aber mildernde Umstände berücksichtigt werden, können Unternehmen einerseits vielfach mit niedrigeren Bußgeldern rechnen. Andererseits dürften allzu großzügige Urteile deutscher Behörden durch die Vorgaben der Leitlinien des EDSA wohl seltener werden.

Wer sich trotzdem eine grobe Orientierung wünscht, kann einen DSGVO-Bußgeldrechner nach den Regelungen der DSK nutzen.

Zum Berechnungsmodell des EDSA gehört auch, dass Datenschutzverstöße von Mitarbeitern auf das Unternehmen zurückfallen und es dafür belangt werden kann. Das soll Unternehmen dazu anregen, ihre Mitarbeiter für das Thema Datenschutz zu sensibilisieren. Um das Unternehmen zu schützen und ein DSGVO-Bußgeld zu vermeiden, liegt es in der Verantwortung der Arbeitgeber, dass ihre Mitarbeiter einen DSGVO-konformen Umgang mit personenbezogenen Daten lernen.

Eine Datenschutzschulung durch einen externen Datenschutzbeauftragten bringt Mitarbeitern die Grundlagen zu den Themen DSGVO und Datenschutz näher. Der externe DSB steht auch im Nachhinein für Fragen zur Verfügung.

Falls es trotz aller Vorkehrungen doch zu einem Datenschutzverstoß durch Mitarbeiter oder zu einem Sicherheitsvorfall durch äußere Einflüsse kommen sollte, begünstigt die richtige Vorbereitung ein niedriges Bußgeld. Wenn Unternehmen eine ansonsten tadellose Konformität mit der DSGVO vorweisen können, kann das als mildernder Umstand gewertet werden.

So verringern Unternehmen das Risiko einer hohen Geldstrafe bei einem Datenschutzverstoß:

• Es besteht ein durchdachtes Datenschutzkonzept.
• Es bestehen Richtlinien für die DSGVO-konforme Datenverarbeitung.
• Alle Mitarbeiter haben Zugang zu diesen Richtlinien und wissen, wie sie eine DSGVO-konforme Datenverarbeitung umzusetzen haben.
• Es wurde, falls erforderlich, eine Datenschutzfolgenabschätzung durchgeführt, um die Folgen der Datenverarbeitung für die Rechte und Freiheiten Betroffener einschätzen zu können.
• Risiken für Datenschutzverstöße und Sicherheitslücken wurden so weit wie möglich minimiert oder vollkommen eliminiert.
• Es bestehen Maßnahmen, wie das Unternehmen auf weiterhin bestehende Risiken, Datenschutzverstöße und Sicherheitsvorfälle angemessen reagiert.
• Das Unternehmen zeigt Kooperationsbereitschaft und Transparenz bei der Klärung des Datenschutzverstoßes.

Bußgelder dienen in erster Linie als Abschreckung und sollen Unternehmen dazu anregen, all diese Voraussetzungen für ein angemessenes Sicherheitsniveau zu erfüllen.

Daher ist ein funktionierendes Datenschutzkonzept für jedes Unternehmen unerlässlich. Denn Maßnahmen, die vor einer Ermittlung wegen eines Datenschutzverstoßes getroffen wurden, fallen als mildernder Umstand besonders ins Gewicht. Auch das Verhalten nach dem Verstoß ist wichtig. Besser ist es jedoch, wenn Unternehmen vorweisen können, schon vorab alle Maßnahmen für eine DSGVO-konforme Datenverarbeitung und Risikovorbeugung getroffen zu haben.

Als mildernder Umstand wird auch eine Meldung des Verstoßes in Eigeninitiative gewertet. Das Fehlverhalten unter den Teppich zu kehren und darauf zu warten, dass der Verstoß von der Aufsichtsbehörde entdeckt oder durch die Beschwerde eines Betroffenen aufgedeckt wird, ist in keinerlei Hinsicht eine gute Entscheidung, wenn das Unternehmen seine Seriosität wahren und ein hohes Bußgeld vermeiden will.

Damit Mitarbeiter den richtigen Umgang mit personenbezogenen Daten verinnerlichen, gilt es, standardisierte Prozesse und Workflows für die Datenverarbeitung im Unternehmen zu implementieren. So werden Verantwortlichkeiten geklärt und es ist ein Leichtes für Mitarbeiter, den Richtlinien für eine DSGVO-konforme Datenverarbeitung zu folgen. Anhand von Checklisten kann geprüft werden, ob alle gesetzlichen Vorgaben eingehalten werden. Bei veränderten Prozessen, zum Beispiel durch die Einführung neuer Technologien, muss das Datenschutzkonzept angepasst werden. Die Arbeit am Datenschutz ist also keine einmalige Sache, sondern ein laufender Prozess, der eine regelmäßige Risikoabschätzung und Prozessoptimierung erfordert. Dazu braucht es ausreichend Ressourcen und umfassendes Fachwissen.

Sie möchten das Risiko für einen Datenschutzverstoß minimieren und Bußgelder verhindern? Als externer Datenschutzbeauftragter unterstützen wir Sie bei der Entwicklung eines Datenschutzkonzeptes und der Einhaltung der Regelungen der DSGVO durch Ihre Mitarbeiter. So stehen Sie auf der sicheren Seite und sind auch im Falle eines Datenschutzverstoßes bestens gerüstet, um hohen Bußgeldern zu entgehen.