Der Europäische Datenschutzausschuss hat eine neue Leitlinie zur Berechnung von Bußgeldern veröffentlicht. Die Berechnung gliedert sich in 5 Schritte.
- Zuerst muss der Sachverhalt identifiziert werden.
- Im zweiten Schritt wird ein Startwert festgelegt (siehe Tabelle 1) und aufgrund der Umsatzgröße angepasst (siehe Tabelle 2).
- Der daraus resultierende Wert kann im dritten Schritt aufgrund besonderer Umstände oder dem Mitwirken des Verantwortlichen angepasst werden.
- Im vierten Schritt wird überprüft, ob der Wert die rechtlich möglichen Maximalbeträge nicht übersteigt.
- Abschließend prüft die Aufsichtsbehörde, ob durch das festgelegte Bußgeld die Ziele der DSGVO (Bußgelder sollen wirksam, verhältnismäßig und abschreckend sein) erreicht werden.
Startwert:
Anpassung des Startwertes:
Bei Art. 83 (4) DSGVO:
Bei Art. 83 (5) DSGVO:
Beispiele:
Beispiel 1:
Ein mittelständiges Unternehmen mit einem Umsatz von 20 Mio. € im letzten Kalenderjahr hat keine Prozesse zur Beantwortung von betroffenen Anfragen etabliert. Im Falle einer Anfrage einer betroffenen Person wurden diese mehrfach ignoriert.
Der Datenschutzverstoß würde mit einem mittleren Schweregrad bewertet werden.
Die Verletzung der Betroffenenrechte stellt einen Verstoß gegen die DSGVO in Sachen des Art. 83 (5) DSGVO dar. Der Startwert liegt somit bei 2-4 Mio. €. In unserem Beispiel setzen wir den Startwert auf 3 Mio. € fest.
Das Unternehmen fällt in die Umsatzgröße zwischen 10-50 Mio. €. Der Startwert wird somit auf 0,5-10 % reduziert. In unserem Beispiel wird der Startwert auf 5 % reduziert. Somit ergibt sich ein Bußgeld in Höhe von 150.000 €.
Beispiel 2:
Ein kleines Unternehmen mit einem Umsatz von 3 Mio. € hat einen Dienstleister mit der Verarbeitung von besonders sensiblen Daten ohne Auftragsverarbeitungsvertrag betraut.
Der Datenschutzverstoß würde ebenfalls mit einem mittleren Schweregrad bewertet werden.
Das Fehlen eines Auftragsverarbeitungsvertrages fällt unter den Art. 83 (4) DSGVO. Der Startwert liegt somit bei 1-2 Mio. €. In unserem Beispiel setzen wir den Startwert auf 1,5 Mio. € fest.
Das Unternehmen fällt in die Umsatzgröße zwischen 2-10 Mio. €. Der Startwert wird somit auf 0,3-2% reduziert. In unserem Beispiel wird der Startwert auf 0,8 % reduziert. Somit ergibt sich ein Bußgeld in Höhe von 12.000 €.
Fazit:
Durch die neue Leitlinie des Europäischen Datenschutzausschusses wird das Vorgehen bei der Verhängung von Bußgeldern vereinheitlicht. Zwar kann die Leitlinie für einen risikobasierten Ansatz im Datenschutzmanagement genutzt und die verschiedenen Aufgaben dementsprechend priorisiert werden, trotzdem sollten Verantwortliche Bußgelder nicht im Vorfeld kalkulieren. Neben den Bußgeldern sind ebenfalls die Konsequenzen auf die Außenwirkung des Unternehmens zu beachten.
Links: Leitlinie zur Bußgeldzumessung; Pressemitteilung des BfDI
