Die deutschen Datenschutzbehörden haben sich auf ein Modell zur Berechnung von Bußgeldern geeinigt. Damit wird die Bemessung von Bußgeldern nach der DSGVO künftig auf eine neue Grundlage gestellt. Das Modell sieht eine einheitliche und vorhersehbare Berechnung von Bußgeldern bei Verstößen gegen die EU-Datenschutz-Grundverordnung vor. „Das Modell sorgt für mehr Klarheit, Transparenz und Nachvollziehbarkeit. Für Unternehmen wird ein Risikomanagement möglich, aber auch notwendig“, sagt Datenschutzexperte Dr. Voßbein, der die deutschlandweite Regelung für Unternehmen und die Anliegen des Datenschutzes zwar positiv wertet, „aber die Strafhöhe weiterhin mit ‚Augenmaß‘ festgelegt werden sollte“. Denn bisher blieben deutsche Unternehmen und Vereine bei Sanktionen aufgrund von Datenschutzverstößen im weltweiten Vergleich weitestgehend verschont. Im Vergleich zu Ländern wie Frankreich, Großbritannien oder den USA waren die Strafgeldzahlungen in Deutschland von geringer Natur. Damit wird es nun vorbei sein. Aber nicht nur deshalb lohnt eine genaue Betrachtung des verabredeten Modells.
Da die neue Formel durchaus komplex ist, wird die Berechnung aus praktischen Gründen im Folgenden vereinfacht dargestellt. Der Umsatz spielt bei der Berechnung des Bußgeldes eine zentrale Rolle. Wie wird zukünftig ein Bußgeld festgelegt? Die Behörden ermitteln einen „Tagessatz“ indem sie den globalen Vorjahresumsatz durch 360 teilen. Dieser Wert wird mit einem Faktor multipliziert. Die Höhe des Faktors richtet sich nach der Schwere des Verstoßes gegen die Datenschutzregeln und kann zwischen 1 und 12 und in besonders schweren Fällen sogar noch darüber liegen. Maßgeblich für den zu ermittelnden Wert ist die Anzahl der betroffenen Personen, die Dauer des Verstoßes, Art, Umfang und Zweck der betreffenden rechtswidrigen Verarbeitung und die Reichweite des dadurch entstandenen Schadens.
Maximal darf die Geldbuße eine Höhe von 4 Prozent des Unternehmensumsatzes haben. Das neue Bußgeldmodell gibt einen Korridor vor. Übrigens: Liegen verschiedene Verstöße gegen die Regelungen der DSGVO vor, so werden die dafür fälligen Bußgeldbeträge addiert. Es soll, so die Datenschutzbehörden, keine ermäßigte Gesamtstrafe geben. Zur Höhe der Geldbußen lässt sich eins sagen: Die Höhe der Bußgelder wird auch in Deutschland zukünftig deutlich höher als bisher ausfallen. Aktuell kündigte die Berliner Datenschutzbehörde an, ein Bußgeld in Höhe eines zweistelligen Millionenbetrages verhängen zu wollen.
Vorteil des neuen Berechnungsmodells: die Höhe der Bußgelder ist vorhersehbarer. Dies hat Auswirkungen auf das Risikomanagement von Unternehmen. Bei festgestellten Datenschutz-Schwachstellen lassen sich die resultierenden Bußgeldrisiken und damit die Schwere des Risikos nun genauer bestimmen.
Problem: Die Faktoren, die zur öffentlichen Bekanntmachung von Schwachstellen führen, sind vielfältig (z.B. Beschwerden enttäuschter Kunden, Überprüfungen der Aufsichtsbehörde) und stetigen Veränderungen unterworfen. Daher fällt die Risikoabschätzung schwer.
Auch ist durch das Zugrundelegen des Umsatzes als Bemessungsgrenze eine Benachteiligung bestimmter Branchen wie beispielsweise des Handels zu erkennen, bei dem die Umsatzrendite traditionell geringer als z. B. bei produzierenden Unternehmen ist.
„Der Aufbau und die Sicherstellung einer gut funktionierenden Datenschutzorganisation und des Datenschutzmanagementsystems sind zur Verringerung des Bußgeldrisikos unerlässlich“, rät UIMC-Geschäftsführer Dr. Jörn Voßbein zum Handeln. Mit dem neuen Rechenmodell könnten zweistellige Millionenbeträge auch bald in Deutschland verhängt werden. Das neue Bußgeldmodell ist bereits jetzt durch die nationalen Datenschutzbehörden verbindlich anzuwenden. Europaweit wird noch an einem einheitlichen Bußgeldkatalog gearbeitet. Die deutschen Behörden engagieren sich sehr dafür, die nationalen Maßstäbe europaweit zur Anwendung zu bringen. Hier muss die weitere Entwicklung abgewartet werden.