Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) haben sich Bedeutung und Wahrnehmung des Datenschutzes grundlegend verändert. Bekannt gewordene Verstöße und wie die Aufsichtsbehörden damit umgehen, sorgen dafür, dass Organisationen den gesetzlichen Datenschutzbestimmungen deutlich mehr Aufmerksamkeit als früher schenken.
Deutsche Aufsichtsbehörden stehen mit dem Instrument der Sanktionierung von Datenschutzvergehen nach eigenen Angaben „noch ganz am Anfang“. Verantwortliche Stellen wie Berater bereiten sich aber bereits darauf vor, dass sich die Höhe der Bußgelder bald auf einem europäisch deutlich höheren Niveau einpendeln könnte.
Wie erfolgt die Bußgeldberechnung?
Eine der entscheidenden gesetzlichen Neuerungen der DSGVO ist die individuelle Festsetzung von Bußgeldern. Es gibt keine Deckelung mehr – Strafen sollen schmerzen und eine abschreckende Wirkung erzielen. Die DSGVO stellt dabei lediglich das Rahmenwerk dar. Die Nennung fester Bußgeldbeträge in Verbindung mit bestimmten Datenschutzverstößen ist daher nicht möglich. Die Seite www.enforcementtracker.com gibt einen Überblick über die (bekannten) Bußgelder und Sanktionen, die die europäischen Datenschutzbehörden bislang verhängt haben: An der Oberkante fliegen British Airways mit einer Strafe von über 204 Millionen Euro, die französischen Datenschützer wollen von Google 50 Millionen Euro, in Deutschland hat Berlin im August gegen Delivery Hero ein Bußgeld in Höhe von 195.407 Euro verhängt.
Die aktuelle Diskussion um dieses Thema wird insbesondere durch ein „neues Bußgeldmodell“ genährt, das die Aufsichtsbehörden aktuell testen sollen. Weitere Details nennen die Aufsichtsbehörden derzeit nicht. Die Datenschutzkonferenz (DSK) selbst informiert in einem aktuellen Papier, dass sie gegenwärtig ein Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO erarbeitet, mit dem Ziel, eine systematische, transparente und nachvollziehbare Bußgeldzumessung zu gewährleisten. Die DSK will das Bußgeldkonzept im November 2019 weiter beraten. Dort wollen die Behörden dann auch über eine Veröffentlichung des Konzepts entscheiden.
Welche Einflussgrößen sind maßgeblich?
Neben dem Jahresumsatz (konzernweit) als Berechnungsgrundlage ist der eigentliche Datenschutzverstoß von entscheidender Relevanz. Er wird mit einem Schweregrad bewertet, der bei der Bußgeldberechnung als Multiplikator dient. Leichte Verstöße werden mit einem niedrigen Faktor bewertet, schwere Verstöße mit einem hohen Faktor; die Spannweite reicht von 1 bis 14,4. Damit ist die Hebelwirkung, die sich aus der Schwere eines Verstoßes ergibt, unter Umständen ganz enorm.
Der zweite Faktor ist der Grad des Verschuldens. Falls die Verantwortlichen unbewusst fahrlässig oder nur gering fahrlässig gehandelt haben, ist eine Abmilderung des Bußgeldbetrags möglich. Bei normaler Fahrlässigkeit bleibt das Bußgeld unverändert, wohingegen es bei grob fahrlässigem Handeln oder einem vorsätzlichen Verstoß um bis zu 50 % erhöht werden kann.
Außerdem berücksichtigen die Datenschutzbehörden bei der Berechnung von Bußgeldern, ob eine Wiederholung vorliegt. Erneute Verstöße führen zu einer Erhöhung des Bußgeldes, die bei der ersten Wiederholungstat 50 % beträgt. Bei häufigeren Wiederholungen ist eine Vervielfachung des Bußgeldes möglich.
Daneben gibt es noch weitere Faktoren, die die zuständige Datenschutzbehörde berücksichtigen kann. Hierzu zählt insbesondere, wie gut das Unternehmen mit der Behörde zusammenarbeitet und welches Engagement es zeigt, um den Verstoß zu beheben.
Wirksam, abschreckend und verhältnismäßig
Bis es demnächst also ggf. transparenter und einheitlicher wird, können sich Verantwortliche zumindest auf einen Grundsatz verlassen: Nach Art. 83 Abs. 1 DSGVO müssen die von den Behörden verhängten Bußgelder „wirksam, abschreckend und verhältnismäßig“ sein. Umso entscheidender ist es, Risiken gar nicht erst einzugehen.
Von Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München