DSVGO – Warum es seit Oktober 2019 richtig weh tun kann

EU-DSGVO
Millionenstrafen in Zusammenhang mit der DSGVO – das kannte man lange Zeit nur im angelsächsischen Raum und nicht wenige in Deutschland sahen die Verordnung schon als zahnlosen Tiger. Doch die deutschen Datenschutzbehörden haben Ende letzten Jahres den Bußgeldkatalog neu verabschiedet. Millionenstrafen drohen!

Die DSGVO gilt zwar schon seit 2018 – neu ist allerdings ein Bußgeldkatalog, den die deutschen Datenschutzbehörden am 14. Oktober letzten Jahres verabschiedet haben. Er beinhaltet ein neues Rechenmodell zur Bemessung von Bußgeldern wegen Datenschutzverstößen

Grundlegende Änderungen durch den neuen Bußgeldkatalog

Bislang gab es keine einheitliche Berechnung der Strafen bei DSGVO-Verstößen. Die einzige Regel war, dass Geldbußen den Betrag von vier Prozent des Konzernumsatzes pro Verstoß nicht übersteigen dürfen. Abgesehen davon hatten die deutschen Behörden recht freie Hand bei der Bemessung der Bußgelder.

Dieser Sachverhalt ändert sich mit dem neuen Bußgeldkatalog grundlegend – und lässt in der Konsequenz erheblich höhere Sanktionen zu. Die Behörden berechnen die Strafen auf Basis des weltweiten Konzernumsatzes des Vorjahres. Dieser wird durch 360 geteilt, um den sogenannten Tagessatz auszurechnen. Es gibt dabei verschiedene Größenklassen, angefangen vom Kleinstunternehmen über kleine und mittlere Firmen bis hin zu großen Unternehmen (Klassen A, B, C und D). In jeder Kategorie gibt es noch drei bis sieben Untergruppen. Die kleinste Kategorie ist A.I und beinhaltet Firmen mit einem Jahresumsatz von bis zu 700.000 Euro. Die größte Klasse ist D.VII mit einem Jahresumsatz von über 500 Millionen Euro. In einem nächsten Schritt beurteilen die Behörden die Schwere des Vergehens mit einem Multiplikator zwischen eins und zwölf, in Einzelfällen auch höher.

Eins steht dabei für einen leichten Verstoß, wie er beispielsweise beim E-Mailversand mit offenem Verteiler vorliegt, ein Wert von zwölf und darüber für einen sehr schweren, der etwa eine große Anzahl an Personen, sensible Daten betrifft oder über einen besonders langen Zeitraum angedauert hat. Der Tagessatz wird anschließend mit dem festgelegten Faktor multipliziert und ergibt die Basis für die Höhe der Geldstrafe.

Keine Deckelung der Bußgeldhöhe

Die Höhe der DSGVO-Strafen ist seit der Änderung deutlich gestiegen

Ein Unternehmen mit einem Jahresumsatz von 250 Millionen Euro kommt so bei einem mittelschweren Vergehen (hierfür gilt der Faktor acht als Maximum) schnell auf eine Geldstrafe in Höhe von 5,5 Millionen Euro. Art und Weise der Tatbegehung können die Höhe allerdings noch nach oben oder unten modifizieren. Wie schwer ein Vergehen aber tatsächlich bewertet wird, liegt nach wie vor im Ermessen der jeweiligen Landesbehörde.

Doch das ist nicht alles – die Art der betroffenen Daten und die Länge des Zeitraums, über den der Verstoß angedauert hat, kann die Geldstrafe nochmals erhöhen. Auch wenn es sich um einen wiederholten Fehler handelt, müssen Unternehmen mit höheren Strafen rechnen. Beim dritten Wiederholungsfall erhöht sich das Bußgeld dementsprechend nochmals um 300 Prozent. Und das geht munter so weiter: Es gibt keine Deckelung bei der Kumulierung einzelner Verstöße.

Rechtsexperten skeptisch

Dieses Modell soll DSGVO-Bußgelder einheitlich, wirksam, abschreckend und verhältnismäßig machen. Doch gerade an der Verhältnismäßigkeit der Sanktionen zweifeln viele Rechtsexperten. Die Berechnung der Strafen auf Basis des Konzernumsatzes sei nicht gerechtfertigt, monieren die Kritiker.

Ursprünglich entstammt diese Rechengrundlage nämlich dem Kartellrecht, wo Strafen auf Basis des Konzernumsatzes berechnet werden. Allerdings dient den Behörden hier – anders als bei der DSGVO – der sogenannte befangene Umsatz als Grundlage, also der Umsatz, den das Unternehmen durch sein kartellrechtliches Fehlverhalten erwirtschaftet hat.

Rechtsmittel als letzte Möglichkeit?

Für Unternehmen bedeutet dies, entweder mögliche finanzielle Einbußen vorab einzuplanen und Rückstellungen zu bilden, zum Beispiel falls es einen Verdacht gibt, dass in der Vergangenheit falsch mit Daten umgegangen wurde. Wer dieser Pflicht nicht nachkomme, kann später gegebenenfalls sogar selbst haftbar gemacht werden.

Wurde ein DSGVO-Verstoß aufgedeckt, kann das Unternehmen den Bußgeldbescheid vor Gericht anfechten und geltend machen, dass der Vorwurf nicht zutrifft, dass sie das Fehlverhalten eingestellt oder zumindest Gegenmaßnahmen eingeleitet haben. Schnelles Handeln kann sich bußgeldmildernd auswirken – ebenso wie eine Selbstanzeige.

Datenschutz als erfolgskritischer Faktor

Der Königsweg für Unternehmen ist es allerdings, Verstöße erst gar nicht zu begehen. Datenschutz und -austausch werden nicht nur Herausforderung, sondern erfolgskritischer Faktor. Die richtige Lösung dafür hilft Unternehmen, den Austausch von personenbezogenen Daten mit Mitarbeitern, Kunden und Partnern sicher zu gestalten und vergleichsweise einfach bereits sehr viel im Sinne der DSGVO zu bewirken.

Sensible Daten sicher und einfach übermitteln

Mit FTAPI schützen Sie sensible Daten und Geschäftsgeheimnisse – einfach und sicher

Prozesse automatisieren - einfach und sicher