Verletzungen gegen die Vorschriften der Datenschutz-Grundverordnung (DSGVO) können von den Datenschutz-Aufsichtsbehörden mit Bußgeldern bestraft werden. Aus Art. 83 DSGVO ergibt sich, dass Verstöße gegen die DSGVO mit im Einzelfall wirksam, verhältnismäßig und abschreckenden Geldbußen belegt werden. Dabei werden verschiedene Kriterien gelistet, anhand welchen die Datenschutz-Aufsichtsbehörden den Betrag der Geldbußen setzen können. So werden in Art. 83 Abs. 2 DSGVO die Art und Schwere des Verstoßes, Vorsätzlichkeit, eventuelle getroffene Maßnahmen zur Minderung oder auch die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, genannt. Da diese Angaben jedoch unterschiedlich interpretiert werden können, hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zur Berechnung von Bußgeldern veröffentlicht. Damit soll die Berechnung der Bußgelder zwischen den Datenschutz-Aufsichtsbehörden in der EU harmonisiert werden.
Berechnung in 5 Schritten
Bußgelder werden in fünf Schritten berechnet, von den allgemeinen Bedingungen für die Verhängung von Geldbußen bis zur Bestimmung des genauen Betrags.
Schritt 1: Allgemeine Bedingungen nach Art. 83 DSGVO
Zuerst wird festgestellt, ob eine Handlung vorliegt, welche nach Art. 83 DSGVO mit einem Bußgeld belegt wird. Dies ist unter anderem der Fall, wenn ein Verstoß gegen die Datenschutz-Grundverordnung vorliegt.
Als zweites wird festgestellt, welche der beiden Obergrenzen (10 Mio. Euro / 2% des Jahresumsatzes oder 20 Mio. Euro / 4% des Jahresumsatzes) anwendbar sind. Dazu werden die Art, Schwere und Dauer des Verstoßes, ob dieser vorsätzlich oder fahrlässig begangen wurde, und welche Kategorien personenbezogener Daten betroffen sind.
Daraufhin wird entschieden, ob bußgeldmindernde oder -erhöhende Umstände vorliegen. Unter Umständen ist dies der Fall, wenn Maßnahmen zur Schadensbegrenzung getroffen wurden; insbesondere, wenn diese vor Kenntniserlangung des Vorfalls durch die Datenschutzaufsichtsbehörde eingeleitet worden waren. Eine gute Zusammenarbeit mit der Aufsichtsbehörde wird ebenfalls berücksichtigt. Das Bußgeld kann beispielsweise auch steigen, wenn bereits in früheren Fällen ähnliche Regelverstöße vorlagen.
Hier wird festgelegt, ob die statische Obergrenze (10 bzw. 20 Mio. Euro) oder die dynamische Obergrenze (2% bzw. 4% des Jahresumsatzes) verwendet wird. Gemäß Art. 83 Abs. 4, 5 DSGVO wird das höhere Bußgeld verhängt.
Zuletzt kann das Bußgeld noch individuell angepasst werden. Dabei wird gemäß Art. 83 Abs. 1 DSGVO beurteilt, ob das Bußgeld angemessen wirksam, verhältnismäßig und abschreckend ist.
Unternehmen und Datenschutzbeauftragte
Unternehmen sind verpflichtet, Datenschutzbeauftragte zu benennen, wenn sie bestimmte Kriterien erfüllen. Diese Datenschutzbeauftragten spielen eine wichtige Rolle bei der Einhaltung der DSGVO und können dazu beitragen, Verstöße zu vermeiden und mögliche Bußgelder zu minimieren.
Unternehmen können durch präventive Maßnahmen das Risiko von Verstößen gegen die DSGVO und damit verbundene Bußgelder minimieren.
Die Berechnung von Bußgeldern bei Verstößen gegen die DSGVO erfolgt in einem strukturierten Prozess, der sicherstellen soll, dass die Bußgelder wirksam, verhältnismäßig und abschreckend sind. Unternehmen sollten proaktive Maßnahmen ergreifen, um die Einhaltung der Datenschutzvorschriften sicherzustellen und mögliche Bußgelder zu vermeiden. Durch die Benennung eines Datenschutzbeauftragten, regelmäßige Schulungen und Sensibilisierungen sowie die Durchführung von Datenschutz-Audits können Unternehmen das Risiko von Verstößen minimieren und ihren Verpflichtungen gemäß der DSGVO gerecht werden.
Berechnung in 5 Schritten
Bußgelder werden in fünf Schritten berechnet, von den allgemeinen Bedingungen für die Verhängung von Geldbußen bis zur Bestimmung des genauen Betrags.
Schritt 1: Allgemeine Bedingungen nach Art. 83 DSGVO
Zuerst wird festgestellt, ob eine Handlung vorliegt, welche nach Art. 83 DSGVO mit einem Bußgeld belegt wird. Dies ist unter anderem der Fall, wenn ein Verstoß gegen die Datenschutz-Grundverordnung vorliegt.
- Art und Schwere des Verstoßes: Die Art des Verstoßes spielt eine zentrale Rolle bei der Bewertung. Handelt es sich um eine einmalige oder wiederholte Handlung? Welche Rechte und Freiheiten der betroffenen Personen wurden verletzt? Besonders schwerwiegend sind Verstöße, die eine große Anzahl von Personen betreffen oder besonders sensible Daten umfassen.
- Vorsätzlichkeit oder Fahrlässigkeit: Es wird geprüft, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde. Ein vorsätzlicher Verstoß wird in der Regel strenger geahndet als ein fahrlässiger, da hier die bewusste Missachtung der Vorschriften im Vordergrund steht.
- Maßnahmen zur Minderung: Maßnahmen, die nach dem Verstoß zur Schadensbegrenzung ergriffen wurden, können bußgeldmindernd wirken. Insbesondere, wenn diese Maßnahmen freiwillig und proaktiv durchgeführt wurden.
- Art der Bekanntwerdung: Auch die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, fließt in die Bewertung ein. Hat das Unternehmen den Verstoß selbst gemeldet, oder wurde er durch externe Hinweise aufgedeckt?
Als zweites wird festgestellt, welche der beiden Obergrenzen (10 Mio. Euro / 2% des Jahresumsatzes oder 20 Mio. Euro / 4% des Jahresumsatzes) anwendbar sind. Dazu werden die Art, Schwere und Dauer des Verstoßes, ob dieser vorsätzlich oder fahrlässig begangen wurde, und welche Kategorien personenbezogener Daten betroffen sind.
- Obergrenzen gemäß Art. 83 DSGVO: Die DSGVO legt zwei Obergrenzen für Bußgelder fest: bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bzw. bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Die höhere dieser beiden Summen wird als Obergrenze verwendet.
- Festlegung der Ausgangshöhe: Die Ausgangshöhe des Bußgeldes wird innerhalb dieser Obergrenzen anhand der zuvor festgestellten Faktoren (Art und Schwere des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit, betroffene Datenkategorien) bestimmt.
Daraufhin wird entschieden, ob bußgeldmindernde oder -erhöhende Umstände vorliegen. Unter Umständen ist dies der Fall, wenn Maßnahmen zur Schadensbegrenzung getroffen wurden; insbesondere, wenn diese vor Kenntniserlangung des Vorfalls durch die Datenschutzaufsichtsbehörde eingeleitet worden waren. Eine gute Zusammenarbeit mit der Aufsichtsbehörde wird ebenfalls berücksichtigt. Das Bußgeld kann beispielsweise auch steigen, wenn bereits in früheren Fällen ähnliche Regelverstöße vorlagen.
- Bußgeldmindernde Umstände: Bußgeldmindernde Umstände können unter anderem sein:
- Ergreifen von Maßnahmen zur Schadensbegrenzung
- Freiwillige Meldung des Verstoßes an die Aufsichtsbehörde
- Gute Kooperation mit der Aufsichtsbehörde
- Frühere Verhaltensweisen, die zur Einhaltung der DSGVO beitragen
- Bußgelderhöhende Umstände: Bußgelderhöhende Umstände können unter anderem sein:
- Wiederholte Verstöße gegen die DSGVO
- Verstoß betrifft besonders sensible Daten oder eine große Anzahl von Personen
- Keine oder unzureichende Maßnahmen zur Schadensbegrenzung
- Behinderung der Ermittlungen durch die Aufsichtsbehörde
Hier wird festgelegt, ob die statische Obergrenze (10 bzw. 20 Mio. Euro) oder die dynamische Obergrenze (2% bzw. 4% des Jahresumsatzes) verwendet wird. Gemäß Art. 83 Abs. 4, 5 DSGVO wird das höhere Bußgeld verhängt.
- Statische vs. dynamische Obergrenze: Die Entscheidung zwischen der statischen (10 Mio. Euro oder 20 Mio. Euro) und der dynamischen Obergrenze (2 % oder 4 % des Jahresumsatzes) hängt von der finanziellen Lage des Unternehmens ab. Die dynamische Obergrenze wird in der Regel bei großen Unternehmen angewendet, um sicherzustellen, dass das Bußgeld eine abschreckende Wirkung hat.
- Verhältnismäßigkeit: Bei der Festlegung der Obergrenze wird auch die Verhältnismäßigkeit des Bußgeldes berücksichtigt. Das Bußgeld soll angemessen hoch sein, um eine abschreckende Wirkung zu erzielen, aber nicht so hoch, dass es das Unternehmen unverhältnismäßig belastet.
Zuletzt kann das Bußgeld noch individuell angepasst werden. Dabei wird gemäß Art. 83 Abs. 1 DSGVO beurteilt, ob das Bußgeld angemessen wirksam, verhältnismäßig und abschreckend ist.
- Wirksamkeit, Verhältnismäßigkeit und Abschreckung: Die DSGVO fordert, dass Bußgelder wirksam, verhältnismäßig und abschreckend sein müssen. Dies bedeutet, dass das Bußgeld hoch genug sein muss, um die Einhaltung der Vorschriften zu fördern und zukünftige Verstöße zu verhindern.
- Individuelle Umstände: Bei der individuellen Anpassung des Bußgeldes werden alle relevanten Umstände des Einzelfalls berücksichtigt. Dazu können unter anderem die wirtschaftliche Lage des Unternehmens, die Schwere des Verstoßes und die getroffenen Maßnahmen zur Schadensbegrenzung zählen.
Unternehmen und Datenschutzbeauftragte
Unternehmen sind verpflichtet, Datenschutzbeauftragte zu benennen, wenn sie bestimmte Kriterien erfüllen. Diese Datenschutzbeauftragten spielen eine wichtige Rolle bei der Einhaltung der DSGVO und können dazu beitragen, Verstöße zu vermeiden und mögliche Bußgelder zu minimieren.
- Aufgaben des Datenschutzbeauftragten: Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften im Unternehmen, schult Mitarbeiter, führt Datenschutz-Audits durch und ist Ansprechpartner für die Aufsichtsbehörde.
- Haftung des Unternehmens: Trotz der Benennung eines Datenschutzbeauftragten bleibt das Unternehmen für die Einhaltung der DSGVO verantwortlich. Der Datenschutzbeauftragte unterstützt das Unternehmen, entbindet es jedoch nicht von seiner Verantwortung.
Unternehmen können durch präventive Maßnahmen das Risiko von Verstößen gegen die DSGVO und damit verbundene Bußgelder minimieren.
- Schulung und Sensibilisierung: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter sind entscheidend, um das Bewusstsein für Datenschutz und die Anforderungen der DSGVO zu schärfen.
- Datenschutz-Audits: Interne und externe Datenschutz-Audits helfen, Schwachstellen zu identifizieren und Maßnahmen zur Verbesserung des Datenschutzes zu ergreifen.
- Technische und organisatorische Maßnahmen: Der Einsatz geeigneter technischer und organisatorischer Maßnahmen (TOMs) kann dazu beitragen, personenbezogene Daten zu schützen und das Risiko von Datenschutzverletzungen zu reduzieren.
Die Berechnung von Bußgeldern bei Verstößen gegen die DSGVO erfolgt in einem strukturierten Prozess, der sicherstellen soll, dass die Bußgelder wirksam, verhältnismäßig und abschreckend sind. Unternehmen sollten proaktive Maßnahmen ergreifen, um die Einhaltung der Datenschutzvorschriften sicherzustellen und mögliche Bußgelder zu vermeiden. Durch die Benennung eines Datenschutzbeauftragten, regelmäßige Schulungen und Sensibilisierungen sowie die Durchführung von Datenschutz-Audits können Unternehmen das Risiko von Verstößen minimieren und ihren Verpflichtungen gemäß der DSGVO gerecht werden.
