Nachdem bereits in Deutschland und ganz Europa teils recht hohe Bußgelder bei DSGVO-Verstößen verhängt wurden, gibt es nun eine einheitliche Berechnung der Bußgelder. Unterm Strich bedeutet das für Ihr Unternehmen: Ein Verstoß wird teuer, selbst kleine Fahrlässigkeiten können schnell in die tausende Euro gehen. Besser also, Sie sorgen vor – hier finden Sie alle Informationen zu den verhängten Strafen und wie eine Bußgeldberechnung jetzt in der Praxis aussehen kann.
DSGVO – nichts Neues, dennoch zunehmend Verstöße
Wir kennen es alle – das Thema Datenschutz beschäftigt uns nun seit mehr als 1 ½ Jahren. Nach Inkrafttreten der EU-Datenschutzgrundverordnung am 25. Mai 2018 verhängten die Landesaufsichtsbehörden in Deutschland und in einigen anderen EU-Ländern bereits zahlreiche Strafen.
Die neue DSGVO soll vor allem Verbraucher besser schützen, weshalb erstmalig eine einheitliche Verordnung EU-weit implementiert wurde. Bei der Datenschutz-Grundverordnung wird die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden deutlich strenger geregelt sein als zuvor. Verbraucher müssen demnach von Ihnen darüber informiert werden, was mit ihren Daten passiert, wer diese sammelt und – das Wichtigste – sie müssen dem auch zustimmen. Falls Sie gegen die DSGVO verstoßen, kann das sehr empfindliche Folgen für Sie und Ihr Unternehmen haben.
Verstöße und Bußgelder – eine Bilanz nach über einem Jahr DSGVO
Allein in Deutschland wurden innerhalb eines Jahres bis zu 75 Fälle bekannt, bei denen Bußgelder verhängt wurden. Die Gesamtsumme aller Strafen in Deutschland beläuft sich bisher auf knapp 15 Mio. Euro. Eine Übersicht über verhängte Bußgelder, mit Filtermöglichkeit nach verschiedenen Kategorien, können Sie auf der Seite GDPR Enforcement Tracker der Stuttgarter Kanzlei CMS finden.
Wie nun Anfang November 2019 bekannt wurde, wurde das bisher höchste einzelne Bußgeld in Deutschland gegen die Deutsche Wohnen SE erlassen. Insgesamt 14,5 Mio Euro kostete der Datenschutzverstoß. Das Urteil ist allerdings noch nicht rechtskräftig, die Deutsche Wohnen wird nach einer Pressemitteilung vom 05.11.2019 den Bescheid gerichtlich prüfen lassen.
Der Fall Deutsche Wohnen SE
Über Jahre hinweg hat die Deutsche Wohnen SE in einem Archivsystem sensible Daten ihrer Mieter:innen gespeichert. Dabei erfolgte keine Überprüfung, ob diese Speicherung auf Basis einer Rechtsgrundlage erfolgt und notwendig ist. Bereits bei einer Überprüfung vor Ort in 2017 wurde dem Unternehmen dringend empfohlen, diesen „Datenfriedhof“ aufzuräumen. Bei einer erneuten Prüfung im März 2019 wurde allerdings von der Datenschutzbehörde festgestellt, dass den Fehler nicht beseitigt hatte.
Weitere Informationen zur Rekord-Strafe finden Sie unter anderem bei Netzpolitik.org und Heise Online.
Ganz schön teuer kann es werden, wenn die DSGVO missachtet wird. Wie hoch ein einzelnes Bußgeld aussehen sollte, dafür gab es bis vor kurzem keine Regelung. Die Höhe der einzelnen Bußgelder variierte von Bundesland zu Bundesland und von Unternehmen zu Unternehmen. Eine wirkliche Bemessungsgrundlage für die Bußgeldvergabe griff hierbei nicht, die Art und Weise der Bußgeldvergabe war bis dato sehr intransparent.
Ein DSGVO-Verstoß kann teuer werden
Mit den bisherigen Bußgeldern können wir uns in Deutschland noch gut sehen lassen. Ganz anders sieht es dabei in Großbritannien aus. Die Briten verhängten Bußgelder in Millionenhöhe. Der Hotelriese Marriott musste einen riesigen Datenverlust einräumen – und zahlte rasch 110 Millionen Euro.
Noch schlimmer sah es für die Fluglinie British Airways aus, die ein Bußgeld in Höhe von 200 Millionen Euro zahlen musste. Und das alles nur wegen einer Sicherheitslücke im Online-Buchungssystem der Airline.
Bußgelder in Millionenhöhe: bald Realität in Deutschland?
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich inzwischen auf ein Modell geeinigt, mit dem die Höhe der Geldbußen schnell einheitlich berechnet werden kann. Das Konzept zur Ermessung von Geldbußen bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) wurde nun veröffentlicht.
Im Oktober 2019 trafen sich die deutschen Datenschutzexperten zu einer Zwischenkonferenz und diskutierten ein neues Rechenmodell. Übersichtlich und sehr schematisch berechnet es die Höhe der Geldbußen, die künftig für Datenschutzverstöße fällig werden. Einige Bußgelder in Deutschland wurden inzwischen bereits nach diesem Modell berechnet.
Das neue Rechenmodell: Tagessatz als Bemessungsgrundlage
Ein einheitliches Berechnungsmodell bedeutet nun endlich Transparenz in der Berechnung der Bußgelder. Dazu dient als Bemessungsgrundlage der Tagessatz des Unternehmens auf Basis des weltweiten Vorjahresumsatzes. So sieht also die Berechnung genau aus:
- Bemessungsgrundlage: Tagessatz
- weltweiter Unternehmensumsatz des Vorjahres / 365 Tage
- Multiplizierung je nach “Schweregrad”
- x1 = leichter Verstoß; x14,4 = sehr schwerer Verstoß
- Bemessung des Schweregrades nach Punktesystem:
- Dauer des Verstoßes
- Zahl der betroffenen Personen
- Ausmaß des erlittenen Schadens
- Ergriffene Maßnahmen zur Schadensminderung
- Zusammenarbeit mit der Behörde
- Erhöhung/Minderung der Strafe abhängig vom Verschuldungsgrad:
- -25% = geringe, unbewusste Fahrlässigkeit
- +25% = Inkaufnahme, Kenntnis
- +50% = Absicht
- Zuschlag für wiederholte Verstöße:
- +50% = ein erneuter Verstoß
- +150% = zwei erneute Verstöße
- +300% = drei oder mehr erneute Verstöße
Die neue Berechnungsmethode bietet auf der einen Seite zwar eine erhöhte und gerechte Transparenz der Berechnungsgrundlage, jedoch zeigt die Methode auf der anderen Seite auch etwas anderes. Es drohen hohe Bußgelder! Und die Behörden werden diese künftig gleichermaßen gegen Konzerne und Großunternehmen als auch gegen KMU und Mittelstand durchsetzen.
Fallbeispiel: Datenschutzverstoß bei mittleren Unternehmen
Nehmen wir einmal an, Sie haben ein Unternehmen mit 35 Mitarbeitern und einen Vorjahres-Umsatz von 4.5 Mio Euro. Nun gab es bei Ihnen einen kleineren Datenschutz-Verstoß aufgrund eines Hackerangriffes. Dabei wurden personenbezogene Daten (Kundendaten, inkl. Kontaktdaten) von einem nicht ausreichend geschützten Windows-Server entwendet. Bei einer folgenden Überprüfung durch die Aufsichtsbehörde kam heraus, dass Ihr Verzeichnis der Verarbeitungstätigkeiten nicht vollständig geführt wurde und bei einer Auftragsverarbeitung ein Auftragsverarbeitungsvertrag nicht abgeschlossen wurde. Die Landesaufsichtsbehörde kommt zu dem Schluss, dass der Verstoß ein leichter und materieller Verstoß ist und setzt daher ein Faktor von 3 fest.
Die Berechnung des Bußgeldes wird dann in etwa wie folgt lauten:
Tagessatz 12.500 € x Faktor 3 = Bußgeld 37.500 €.
Fallbeispiel 2: Kleine Fahrlässigkeit bei kleinen Unternehmen
Unser zweites Beispiel handelt von einem kleinen Unternehmen mit sechs Mitarbeitern und einem Umsatz von 650.000 Euro Jahresumsatz. Ihr Unternehmen hat hierbei einen kleineren Verstoß gegen die DSGVO zu verantworten. Dabei wird von der Aufsichtsbehörde festgestellt, dass der Verstoß sowohl leicht als auch nur ein formeller Verstoß gegen die DSGVO ist und setzt den Faktor auf 1.3 fest.
Die Berechnung sieht demnach wie folgt aus:
Tagessatz 1.805 € x Faktor 1.3 = Bußgeld 2.346,50 €.
Der DSGVO-Check: jetzt erst recht!
Ist Ihre Firma DSGVO-fit? Denn ein Verstoß gegen die DSGVO kann sehr teuer werden. Wir beraten Sie beim Thema Datenschutz und helfen Ihnen, Ihr Unternehmen DSGVO-konform aufzustellen. Wir helfen Ihnen, Datenschutz in Ihrem Unternehmen pragmatisch und sicher umzusetzen. Vereinbaren Sie noch heute ein Gespräch mit Digimojo.