Bußgeldberechnung nach der DSGVO

Knowledge Base der Datenbeschützerin

Seit Inkrafttreten der DSGVO wurden bereits einige Bußgelder in Deutschland und in der EU verhängt. Eine aktuelle Übersicht dazu finden Sie im Artikel zu den Bußgeldern DSGVO.

Die DSK hat nun ein Konzept zur Bußgeldberechnung erstellt und veröffentlicht. Mit diesem Berechnungskonzept soll vor allem die Transparenz bei der Bußgeldvergabe gewährleistet werden.

Nachfolgend zeigen wir Ihnen einen Überblick über die Ermittlung der Höhe des Bußgelds bei einem Verstoß gegen die DSGVO.

Wie ist die Vorgehensweise bei der Bußgeldberechnung?

Die DSK unterteilt die Vorgehensweise in fünf Schritte. Dabei wird 

  • die Unternehmensgröße berücksichtigt (Schritt 1) 
  • der mittlere Jahresumsatz (Schritt 2) ermittelt 
  • der wirtschaftliche Grundwert (Schritt 3) ermittelt
  • die Schwere des Vorfalls mit dem Grundwert multipliziert (Schritt 4)
  • der ermittelte Wert den berücksichtigten Umständen (Schritt 5) angepasst. 

Es hört sich im ersten Moment kompliziert an. Allerdings gibt die DSK auch viele definierte Tabellenwerte mit. Diese kann man „ablesen“. Um die Vorgehensweise etwas praxisnäher zu erläutern, wird uns nachstehendes Beispiel begleiten.

Beispiel für eine Bußgeldberechnung DSGVO (Personalvermittlungsagentur)

Herr Müller ist Geschäftsführer einer Personalvermittlungsagentur und beschäftigt 35 Mitarbeiter am Standort München.

Durch einen Softwarefehler wurden die Daten der zu vermittelnden potentiellen Arbeitnehmer an die falschen Auftraggeber gesandt. Die betroffenen Daten waren dabei Name, Adresse und Beruf des Betroffenen. Bei dem Vorfall wurden Datensätze von 10 potentiellen Arbeitnehmern an Dritte weitergeleitet. Der Datenschutzvorfall wurde seitens eines Mitarbeiters entdeckt, der die ausgehenden Nachrichten einsieht.

Daraufhin wurde das unberechtigte Nachrichtensenden sofort gestoppt und der Fehler analysiert und behoben.

Die Personalvermittlungsagentur erzielte im letzten Jahr einen Jahresumsatz von 1 Mio. Euro. Intern werden über 10.000 Datensätze verwaltet und verarbeitet.

Die Agentur konnte bisher noch keinen Datenschutzvorfall verzeichnen und auch das Datenschutz-Management wurde implementiert.

In welche Größen werden die Unternehmen eingeteilt? (Schritt 1)

Die Unternehmen werden in verschiedene Klassen eingeteilt. In diesen Klassen wiederum werden nochmals Unterklassen festgelegt. Nachfolgend werden nur die Oberklassen dargestellt.

  • Klasse A: Kleinstunternehmen mit einem Jahresumsatz bis 2 Mio. Euro
  • Klasse B: Kleine Unternehmen mit einem Jahresumsatz von 2. Mio. Euro bis 10 Mio. Euro
  • Klasse C: Mittlere Unternehmen mit einem Jahresumsatz von 10 Mio. Euro bis 50 Mio. Euro
  • Klasse D: Großunternehmen mit einem Jahresumsatz über 50 Mio. Euro

Beispiel Bußgeldberechnung DSGVO für eine Personalvermittlungsagentur

Die Personalvermittlungsagentur erzielte im letzten Jahr einen Jahresumsatz von 1 Mio. Euro. Daher wird die die Firma von Herrn Müller in die Kategorie A eingeordnet. Weiterhin wird die Agentur in die Unterkategorie A.II (Jahresumsatz über 700.000 bis 1,4 Mio. Euro) eingestuft.

Wie wird der mittlere Jahresumsatz berechnet? (Schritt 2)

Eine direkte Berechnung erfolgt in diesem Fall nicht. Es wurde dafür ein Mittelwert in einer Tabelle festgelegt. Der Mittelwert richtet sich wieder anhand der Klasseneinordnung (Oberkategorie und Unterkategorie).

Beispiel Personalvermittlungsagentur

Die Vermittlungsagentur wird in der Tabelle mit einem mittleren Jahresumsatz von 1.050.00 0 € eingeordnet.

Wie wird der wirtschaftliche Grundwert berechnet? (Schritt 3)

Die Berechnung für den wirtschaftlichen Grundwert richtet sich ebenfalls wieder nach einem definierten Wert. Dieser Wert ist in der Tabelle im DSK-Papier einsehbar. Die Berechnung sieht folgendermaßen aus

Wirtschaftlicher Grundwert = Mittlerer Jahresumsatz : 360 Tage 

Beispiel Personalvermittlungsagentur

Der wirtschaftliche Grundwert wird bei Herrn Müller nach der Tabelle mit 2.917 € festgesetzt.

Wirtschaftlicher Grundwert = 1.050.000 € : 360 Tage = 2.916,666 € -> 2.917 €

Mit welchem Schweregrad wird der Vorfall bewertet? (Schritt 4)

Hier ist jetzt der Einzelfall und der konkrete Sachverhalt ausschlaggebend. Vereinfacht teilt die DSK die Schweregrade in leicht, mittel, schwer oder sehr schwer ein.

Innerhalb der Schwergrade ist ein definierter Faktor (1 – 12) vorgegeben, mit welchem der Grundwert multipliziert wird. Nehmen wir zur Berechnung unser Beispiel her.

Beispiel Personalvermittlungsagentur

Die Vermittlungsagentur hatte bisher noch keinen Datenschutzvorfall, was womöglich positiv gewertet wird. Es wurden keine sensiblen Daten an unberechtigte Dritte weitergeleitet, sondern lediglich Name, Adresse und Beruf.

Damit verstößt Herr Müller gegen die Vertraulichkeit und Integrität nach Art. 5 Abs. 1 it. f DSGVO. Durch den Softwarefehler konnte kein angemessenes Sicherheitsniveau für die Daten gewährleistet werden.

Bei der Bewertung wird auch womöglich die Anzahl der betroffenen Datensätze mit gewertet. Bei dem Vorfall waren von den insgesamt 10.000 Datensätze nur 10 (0,1 %) betroffen.

Nach Einschätzung der Datenbeschützerin könnte es sich dabei um einen leichten Verstoß handeln, der mit einem Faktor von 2 bewertet wird. Somit wird das Bußgeld folgendermaßen berechnet:

Grundwert x Faktor = Bußgeld 

2.917 € x 2 = 5.834,00 €

Werden noch weitere Faktoren mit einbezogen, die das Bußgeld erhöhen oder verringern könnten? (Schritt 5)

Ja, im 5. Schritt werden alle nochmals alle Umstände, die für und gegen den Betroffenen sprechen mit einbezogen, sofern dies nicht schon im vorherigen Schritt beachtet wurde.

Insbesondere werden auch sonstige Umstände z.B. eine lange Verfahrensdauer oder drohende Zahlungsunfähigkeit des Unternehmens hier mit berücksichtigt.

Fazit

Die DSK hat ein transparentes Konzept zur Berechnung von Bußgeldern nach der DSGVO geschaffen. Es ist jedoch immer der Einzelfall zu betrachten und zu bewerten. Der ganz große Vorteil, den die Datenbeschützerin bei diesem Konzept sieht, ist die bereits erste grobe Einschätzung für die Bußgeldhöhe. 

Des Weiteren können vor allem kleine und mittelständische Unternehmen aufatmen. Die Tabelle 3 des Konzept zeigt auf, dass das geringste Bußgeld bei 972 € liegen wird. Von daher braucht z.B. eine Schreinerei oder ein Ein-Mann-Betrieb keine Angst vor den sagenumwobenen 2 Mio. Euro Bußgeld zu haben.

Beispiel Personalvermittlungsagentur

Durch das sehr einfache abstrakte Beispiel ist ein Bußgeld von 5.834,00 € berechnet worden. Mit Hilfe dieses Beispiels konnte die Berechnung veranschaulicht dargestellt werden. 

Konzept der DSK zur Bußgeldzumessung in Verfahren gegen Unternehmen 

Quelle

Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.