Anzeige
Anzeige
Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik Ad placeholder
Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik Ad placeholder
Print this page

So berechnen sich Bußgelder für Verstöße gegen die DSGVO

20.04.2020
Dörte Neitzel

Jetzt gibt es endlich Klarheit: Die Datenschutzbehörden haben klargestellt, wie sie Bußgelder bei DSGVO-Verstößen berechnen. Fünf Kriterien spielen eine Rolle.

Studie: Viele Unternehmen haben DSGVO noch nicht umgesetzt
© Fotolia/DOC RABE Media

Art. 83 DSGVO sieht bei Verstößen gegen den Datenschutz Geldbußen bis zu 20 Millionen Euro oder bis zu vier Prozent des Vorjahresumsatzes vor – je nachdem, welcher Betrag höher ist. Das klingt nach viel und sorgte für einen entsprechend großen Aufschrei bei den Unternehmen, denn ein einheitliches Konzept gab es bislang nicht. Die ersten Bußgelder seit Einführung der DSGVO zeigen jedoch: Im Gegensatz zu ihren französischen Kollegen waren die deutschen Behörden recht zahm, was die Höhe betrifft. Das soll sich mit dem neuen Konzept ändern.

Neues Berechnungsmodell veröffentlicht

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich auf ein neues Modell zur Berechnung von Bußgeldern geeinigt. Das soll, ähnlich wie im Kartellrecht, Bußgelder nachvollziehbar machen.

Laut der DSK sei das neue Konzept entstanden als Reaktion auf das Modell der französischen Datenschutzbehörde CNIL. Das allerdings war den deutschen Datenschützern zu wenig nachvollziehbar und zu sehr einzelfallbezogen. Sie wollten eine systematische, trasparente und nachvollziehbare Bußgeldbemessung. Fünf Schritte sollen das jetzt gewährleisten:

Schritt 1: Umsatzklasse des Unternehmens ermitteln

Die Behörden legen vier Größenklassen fest, in die Unternehmen eingeordnet werden. Dazu orientieren Sie sich am Vorjahresumsatz.

I. Kleinstunternehmen

  • Jahresumsatz bis 700.000 Euro
  • Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro
  • Jahresumsatz zwischen 1,4 und 2 Millionen Euro

II. Kleine Unternehmen

  • Jahresumsatz zwischen 2 und 5 Millionen Euro
  • Jahresumsatz zwischen 5 und 7,5 Millionen Euro
  • Jahresumsatz zwischen 7,7 und 10 Millionen Euro

III. Mittlere Unternehmen

  • Jahresumsatz zwischen 10 und 12,5 Millionen Euro
  • Jahresumsatz zwischen 12,5 und 15 Millionen Euro
  • Jahresumsatz zwischen 15 und 20 Millionen Euro
  • Jahresumsatz zwischen 20 und 25 Millionen Euro
  • Jahresumsatz zwischen 25 und 30 Millionen Euro
  • Jahresumsatz zwischen 30 und 40 Millionen Euro
  • Jahresumsatz zwischen 40 und 50 Millionen Euro

IV. Großunternehmen

  • Jahresumsatz zwischen 50 und 75 Millionen Euro
  • Jahresumsatz zwischen 75 und 100 Millionen Euro
  • Jahresumsatz zwischen 100 und 200 Millionen Euro
  • Jahresumsatz zwischen 200 und 300 Millionen Euro
  • Jahresumsatz zwischen 300 und 400 Millionen Euro
  • Jahresumsatz zwischen 400 und 500 Millionen Euro
  • Jahresumsatz über 500 Millionen Euro

2. Schritt: Mittleren Jahresumsatz der jeweiligen Untergruppe ermitteln

Im zweiten Schritt wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, ermittelt. Dieser Schritt dient auch dazu, den nächsten Schritt zu veranschaulichen.

© DSK
Nach dieser Tabelle wird der mittlere Jahresumsatz berechnet.

3. Schritt: Den wirtschaftlichen Grundwert ermitteln

Auf der Grundlage des mittleren Jahresumsatzes berechnen die Behörden den wirtschaftlichen Grundwert – das ist eine Art Tagessatz. Bei der Berechnung wird der mittlere Jahresumsatz durch 360 geteilt.

© DSK
Diese Tagessätze gelten für die einzelnen Größenklassen.

4. Schritt: Schweregrad der Tat ermitteln

Der Schweregrad der Tat hängt vom Einzelfall ab. Die Einordnung erfolgt in leicht, mittel, schwer und sehr schwer. Das passiert jeweils in der Kategorie für formelle (Art. 83 Abs. 4 DSGVO) und materielle Verstöße (Art. 83 Abs. 5,6 DSGVO).  Formelle Verstöße sind beispielsweise Verstöße gegen Verfahrensanforderungen, etwa das Führen eines Verfahrensverzeichnisses. Materielle Verstöße betreffen Datenverarbeitungen, zum Beispiel wenn Unternehmen angeforderte Auskünfte nicht erteilen erteilen oder Daten nicht löschen.

Die Schwere wird einem Multiplikatorwert zugeordnet. Mit diesem wird der wirtschaftliche Grundwert dann multipliziert.

Bei einer schweren Tat müssen die Behörden den maximalen Bußgeldrahmen von 20 Millionen Euro beachten.

© DSK
Nach dieser Einteilung bestimmt sich der Schweregrad der Tat.

5. Schritt: Anpassen an den Einzelfall

Das bislang berechnete Bußgeld, bzw. der Grundwert, kann hier noch einmal nach oben oder unten angepasst werden. Dabei berücksichtigen die Behörden sämtliche täterbezogenen Umstände. Laut Art. 83 Abs. 2 DSGVO können das sein:

  • War die Tat vorsätzlich oder fahrlässig?
  • Gab es frühere Verstöße?
  • Gab es Maßnahmen zur Minderung des Schadens?
  • Hat der Täter den Verstoß den Behörden selbst mitgeteilt?

Das Konzept der deutschen Datenschutzbehörden gilt nur solange, bis der Europäische Datenschutzausschuss endgültige Leitlinien für die Festsetzung von Geldbußen erlässt.

Weitere Beiträge zur DSGVO auf haustec.de:

So viel zahlen Unternehmen für die DSGVO
Studie: So viel zahlen Unternehmen für die DSGVO

Die DSGVO ist vielen Unternehmen teuer zu stehen gekommen. Eine Studie hat jetzt ermittelt, wie viel in Deutschland tatsächlich für die Umstellung gezahlt werden musste.

Keine Panik! So setzen Sie die DSGVO im Betrieb um
So setzen Sie die DSGVO im Betrieb um

Die Datenschutz-Grundverordnung (DSGVO) ist für alle Unternehmen verbindlich und betrifft damit auch Handwerksbetriebe. Aber was genau gibt die DSGVO vor und worauf sollte man als Handwerksunternehmer achten?

Drei häufige Fehler bei der Umsetzung der DSGVO
Drei häufige Fehler bei der Umsetzung der DSGVO

Bei der Umsetzung der DSGVO unterlaufen vielen Unternehmen gravierende Fehler. Besonders kleine Unternehmen tun sich nach wie vor schwer.

Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik Ad placeholder