Deutsche Datenschutzbehörden veröffentlichen neues System zur Bußgeldberechnung

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

Die deutsche Datenschutzkonferenz (DSK) hat kürzlich ein neues System zur Berechnung der nach der DSGVO verhängten Bußgelder veröffentlicht.

Das deutsche Modell ist etwas komplex, es berechnet Bußgelder in fünf Schritten:

  • Zuordnung des Unternehmens zu einer Größenklasse
  • Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  • Berechnung eines wirtschaftlichen Grundwertes (Tagesumsatz)
  • Multiplikation des Grundwertes nach Schweregrad der Tat
  • Klassifizierung des Verstoßes

1. Zuordnung des Unternehmens zu einer Größenklasse

Das zuwiderhandelnde Unternehmen wird einer von vier möglichen Gruppen zugordnet: (A) Kleinstunternehmen, (B) Kleinunternehmen, (C) mittelständisches Unternehmen und (D) Großunternehmen. Gleichzeitig wird ihm eine Unterkategorie zugewiesen, um eine möglichst genaue Klassifizierung zu gewährleisten.

Die Klassifizierung erfolgt nach dem weltweiten Unternehmensumsatz des Vorjahres. Es ist wichtig herauszustellen, dass das Unternehmenskonzept bei Unternehmensgruppen die gesamte wirtschaftliche Einheit umfasst. Kurz gesagt wird für die Berechnung das in den Antitrust-Vorschriften der Europäischen Union vorgesehene Konzept der Unternehmensgruppe verwendet.

2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse

Ebenso ermittelt die Datenschutzkonferenz den durchschnittlichen Jahresumsatz des Unternehmens. Hierfür wird der Unterkategorie, in die das Unternehmen eingeordnet wurde, ein fester Betrag zugewiesen, sofern der Umsatz des Vorjahres unter 500.000 € lag.

Bei höheren Umsätzen werden die in Artikel 83 DSGVO vorgesehenen Prozentsätze von 2 oder 4 % direkt auf den Unternehmensumsatz angewendet.

3. Berechnung des wirtschaftlichen Grundwertes (Tagesumsatz)

Zur Berechnung des Tagesumsatzes wird der bestimmte durchschnittliche Jahresumsatz des Unternehmens aus dem vorherigen Schritt durch 360 Tage geteilt.

4. Multiplikation des Grundwertes nach Schweregrad der Tat

Anhand der Umstände jedes Falles wird die Schwere des Verstoßes als leicht, mittel, schwer oder sehr schwer eingestuft.

Der Multiplikator ergibt sich in Abhängigkeit davon, ob der Verstoß formell (Artikel 83.4 DSGVO) oder materiell (Artikel 83.5 und 83.6 DSGVO) ist.

Beispiele für formelle Verstöße sind das Fehlen einer Vertragsformalisierung des Verantwortlichen oder Mitverantwortlichen, die Verletzung von Privacy by Design und Privacy by Default oder die Nicht-Ernennung eines Datenschutzbeauftragten, usw.

Zu den materiellen Verstößen zählen die Verletzung der Rechte der Betroffenen oder die Verletzung der Legitimationsgrundlage für die Verarbeitung personenbezogener Daten.

Schließlich muss der Grundwert (Tagesumsatz) mit dem erhaltenen Faktor multipliziert werden, was zu einer Bandbreite führt. Aus dieser Bandbreite wird ein Durchschnitt berechnet, der die Grundlage für die finale Berechnung der Geldbuße bildet.

5. Klassifizierung des Verstoßes

In diesem letzten Schritt werden die Art des Verstoßes und die Folgen für die Betroffenen, die Anzahl der Betroffenen, das Ausmaß des erlittenen Schadens usw. berücksichtigt.

Die Konsequenzen des neuen Systems dürften darin bestehen, dass den Unternehmen erheblich höhere Bußgelder auferlegt werden, da der Jahresumsatz tendenziell ansteigen wird.

Darüber hinaus stellen Experten die Frage, ob das umsatzbasierte Berechnungsmodell verhältnismäßig ist. Möglicherweise landet das System am Ende vor Gericht.

Teilen Sie diesen Artikel

Teilen

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

Dieser Artikel wurde geschrieben von:

Lisa Hofmann

TÜV lizenzierte Datenschutzbeauftragte

Lisa ist als TÜV zertifizierte Datenschutzbeauftragte bei Pridatect für die Produktentwicklung der internationalen Datenschutzplattform zuständig. Als studierte Juristin, hat sie über 6 Jahre in diversen Unternehmen Datenschutzprogramme als interne Datenschutzbeauftragte implementiert und verantwortet. Sie ist leidenschaftlich daran interessiert Datensicherheit durch innovative technische Lösungen jedem Unternehmen einfach zugänglich zu machen.

Newsletter

Möchten Sie regelmäßig Neuigkeiten zu Datenschutz und DSGVO erhalten? Abonnieren Sie unseren Newsletter und wir senden Ihnen als erstes neue Blog Artikel, Webinare und Ebooks zu.

Ähnliche Artikel