DSGVO - woher die plötzlichen Millionenstrafen kommen
FTAPI Software GmbH

DSGVO - woher die plötzlichen Millionenstrafen kommen

Ist Ihnen das auch schon aufgefallen? Vor Inkrafttreten herrschte die große Angst vor der Datenschutzgrundverordnung (DSGVO), als sie dann im Mai 2018 da war, das große Abwarten – wann kommen die Strafen und wie hoch fallen sie aus? Anschließend fast schon so etwas wie Verwunderung, denn die Strafen waren in Deutschland alle im fünf- und niedrigen sechsstelligen Bereich. Der ein oder andere sprach schon vom zahnlosen Tiger, große Strafen gab es nur im angelsächsischen Raum. Doch dann, im November und Dezember 2019, folgten die Paukenschläge: 14,5 Millionen Euro Strafe für die Deutsche Wohnen, 9,5 Millionen für 1&1 – was war passiert?

Es wurde kein Alt-Text für dieses Bild angegeben.

Die DSGVO gilt zwar schon seit 2018 – neu ist allerdings ein Bußgeldkatalog, den die deutschen Datenschutzbehörden am 14. Oktober letzten Jahres verabschiedet haben. Er beinhaltet ein neues Rechenmodell zur Bemessung von Bußgeldern wegen Datenschutzverstößen.

Neuer einheitlicher Bußgeldkatalog lässt erheblich höhere Strafen zu

Bislang gab es keine einheitliche Berechnung der Strafen bei DSGVO-Verstößen. Die einzige Regel war, dass Geldbußen den Betrag von vier Prozent des Konzernumsatzes pro Verstoß nicht übersteigen dürfen. Abgesehen davon hatten die deutschen Behörden recht freie Hand bei der Bemessung der Bußgelder.

Dieser Sachverhalt ändert sich mit dem neuen Bußgeldkatalog grundlegend – und lässt in der Konsequenz erheblich höhere Sanktionen zu. Die Behörden berechnen die Strafen auf Basis des weltweiten Konzernumsatzes des Vorjahres. Dieser wird durch 360 geteilt, um den sogenannten Tagessatz auszurechnen. Es gibt dabei verschiedene Größenklassen, angefangen vom Kleinstunternehmen über kleine und mittlere Firmen bis hin zu großen Unternehmen (Klassen A, B, C und D). In jeder Kategorie gibt es noch drei bis sieben Untergruppen. Die kleinste Kategorie ist A.I und beinhaltet Firmen mit einem Jahresumsatz von bis zu 700.000 Euro. Die größte Klasse ist D.VII mit einem Jahresumsatz von über 500 Millionen Euro. In einem nächsten Schritt beurteilen die Behörden die Schwere des Vergehens mit einem Multiplikator zwischen eins und zwölf, in Einzelfällen auch höher.

Eins steht dabei für einen leichten Verstoß, wie er beispielsweise beim E-Mailversand mit offenem Verteiler vorliegt, ein Wert von zwölf und darüber für einen sehr schweren, der etwa eine große Anzahl an Personen, sensible Daten betrifft oder über einen besonders langen Zeitraum angedauert hat. Der Tagessatz wird anschließend mit dem festgelegten Faktor multipliziert und ergibt die Basis für die Höhe der Geldstrafe.

Keine Deckelung der Bußgeldhöhe

Ein Unternehmen mit einem Jahresumsatz von 250 Millionen Euro kommt so bei einem mittelschweren Vergehen (hierfür gilt der Faktor acht als Maximum) schnell auf eine Geldstrafe in Höhe von 5,5 Millionen Euro. Art und Weise der Tatbegehung können die Höhe allerdings noch nach oben oder unten modifizieren. Wie schwer ein Vergehen aber tatsächlich bewertet wird, liegt nach wie vor im Ermessen der jeweiligen Landesbehörde.

Doch das ist nicht alles – die Art der betroffenen Daten und die Länge des Zeitraums, über den der Verstoß angedauert hat, kann die Geldstrafe nochmals erhöhen. Auch wenn es sich um einen wiederholten Fehler handelt, müssen Unternehmen mit höheren Strafen rechnen. Beim dritten Wiederholungsfall erhöht sich das Bußgeld dementsprechend nochmals um 300 Prozent. Und das geht munter so weiter: Es gibt keine Deckelung bei der Kumulierung einzelner Verstöße.

Rechtsexperten sind skeptisch

Dieses Modell soll DSGVO-Bußgelder einheitlich, wirksam, abschreckend und verhältnismäßig machen. Doch gerade an der Verhältnismäßigkeit der Sanktionen zweifeln viele Rechtsexperten. Die Berechnung der Strafen auf Basis des Konzernumsatzes sei nicht gerechtfertigt, monieren die Kritiker.

Ursprünglich entstammt diese Rechengrundlage nämlich dem Kartellrecht, wo Strafen auf Basis des Konzernumsatzes berechnet werden. Allerdings dient den Behörden hier – anders als bei der DSGVO – der sogenannte befangene Umsatz als Grundlage, also der Umsatz, den das Unternehmen durch sein kartellrechtliches Fehlverhalten erwirtschaftet hat.

Rechtsmittel als letzte Möglichkeit?

Für Unternehmen bedeutet dies, entweder mögliche finanzielle Einbußen vorab einzuplanen und Rückstellungen zu bilden, zum Beispiel falls es einen Verdacht gibt, dass in der Vergangenheit falsch mit Daten umgegangen wurde. Wer dieser Pflicht nicht nachkomme, kann später gegebenenfalls sogar selbst haftbar gemacht werden.

Wurde ein DSGVO-Verstoß aufgedeckt, kann das Unternehmen den Bußgeldbescheid vor Gericht anfechten und geltend machen, dass der Vorwurf nicht zutrifft, dass sie das Fehlverhalten eingestellt oder zumindest Gegenmaßnahmen eingeleitet haben. Schnelles Handeln kann sich bußgeldmildernd auswirken – ebenso wie eine Selbstanzeige.

Datenschutz als erfolgskritischer Faktor

Der Königsweg für Unternehmen ist es allerdings, Verstöße erst gar nicht zu begehen. Datenschutz und -austausch werden nicht nur Herausforderung, sondern erfolgskritischer Faktor. Die richtige Lösung dafür hilft Unternehmen, den Austausch von personenbezogenen Daten mit Mitarbeitern, Kunden und Partnern sicher zu gestalten und vergleichsweise einfach bereits sehr viel im Sinne der DSGVO zu bewirken.

Möchten Sie mehr darüber erfahren, wie Sie mit sicherem Datentransfer die Anforderungen der DSGVO erfüllen, dann laden Sie unser kostenloses Infopaket herunter.

Sebastian Borchi

VP Sales @FTAPI || 🏆 Europe’s #1 Plattform for compliant & secure file exchange || #securingdigitalfreedom || humor & fun are essential for success in sales

4 Jahre

Keine automatischen Löschfristen - schade eigentlich!

Zum Anzeigen oder Hinzufügen von Kommentaren einloggen

Ebenfalls angesehen

Themen ansehen