Sofortkontakt zur Kanzlei
AHS Rechtsanwälte
Aktuelle News
 

Bußgeld bei Verstoß gegen Datenschutz (DSGVO)

Die Datenschutzbehörden haben bereits begonnen, bei einem Verstoß gegen die DSGVO ein Bußgeld zu verhängen. Die Schonfrist zur Umsetzung der Vorgaben ist nämlich bereits 2018 abgelaufen.

Das Bußgeld wird im Wesentlichen anhand des Umsatzes und der Art des Verstoßes berechnet. Deshalb haben die Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) nun Kriterien erarbeitet, nach denen die Höhe des Bußgelds berechnet wird. Diese Kriterien werden derzeit in der Praxis erprobt. Der Blog stellt die wesentlichen Berechnungskriterien vor und gibt einen Ausblick auf die möglichen Änderungen.

(Dieser Beitrag ist auf dem Stand vom 22.11.2019).

Datenschutz nach der DSGVO:

Die Datenschutz-Grundverordnung (DSGVO) wird durch das Bundesdatenschutzgesetz (BDSG) konkretisiert. Beide gewähren einen umfassenden Schutz auf Auskunft, Berichtigung, Löschung oder Widerspruch.

Im Prin­zip un­ter­liegt je­der als "Ver­ant­wort­li­cher" der DSGVO, der per­so­nen­be­zo­ge­ne Da­ten ver­ar­bei­tet und das nicht aus­sch­ließlich zu persönli­chen oder fa­mi­liären Zwe­cken tut. Dies wird wohl auf jeden Arbeitgeber zutreffen.

Als perso­nen­be­zo­ge­ne Da­ten im Sin­ne der DSGVO gelten sämt­li­che In­for­ma­tio­nen, die ei­nen kon­kre­ten Men­schen (die „be­trof­fe­ne Per­son“) iden­ti­fi­zie­ren oder iden­ti­fi­zier­bar ma­chen. Ver­ar­bei­tet wer­den Da­ten bei­spiels­wei­se dann, wenn sie er­fasst, ge­spei­chert oder verändert, also auch gelöscht wer­den.

Betriebe mit mindestens 10 (zukünftig aber erst ab 20) Mitarbeitern, müssen darüber hinaus einen Datenschutzbeauftragten ernennen. Das bedeutet allerdings nicht, dass die Betriebe ohne Datenschutzbeauftragten geringeren datenschutzrechtlichen Anforderungen unterliegen.

Die Regelungen aus der DSGVO und dem BDSG machen besonders Sinn, wenn es um multinationale Konzerne geht. Insbesondere große Internetunternehmen, die umfangreich die Daten der Nutzer sammeln und verwerten. Kleinbetriebe kann die Beachtung all der umfangreichen und teils schwer verständlichen Vorschriften allerdings schnell überfordern. Dies ist besonders dehalb gefährlich, weil teilweise hohe Bußgeldbescheide drohen.

Bußgeld bei Verstoß gegen die DSGVO:

Die Rechtsgrundlage für ein Bußgeld ist Artikel 83 DSGVO. Das Bußgeld beträgt zwischen 10 und 20 Millionen Euro; bei einem Unternehmen kann das Bußgeld allerdings bis zu zwei Prozent des weltweiten Jahresumsatz betragen. In Ausnahmefällen sogar bis zu vier Prozent.

Für die Berechnung der Höhe des Bußgelds gibt Artikel 83 DSGVO relativ allgemeine Vorgaben vor. Auf jeden Fall hängt die Höhe vom jeweiligen Einzelfall ab - sie soll dabei aber in jedem Fall wirksam, verhältnismäßig und abschreckend sein.

Damit die jeweilige Aufsichtsbehörde im Mitgliedsstaat zukünftig eine nachvollziehbare Berechnungshöhe an die Hand bekommt, hat die Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Bußgeldkonzept erarbeitet. Dieses Konzept wird derzeit getestet. Ob und wie es dann umgesetzt wird, wird sich wohl erst im kommenden Jahr 2020 entscheiden.

Berechnung und Höhe des Bußgelds nach dem derzeitigen Konzept:

Derzeit wird von der DSK die Berechnung anhand von Tagessätzen favorisiert (Jahresumsatz geteilt durch 360 = Tagessatz). Der Tagessatz wird dann mit einem bestimmten Faktor multipliziert, der abhängig von der Schwere des Verstoßes ist.

Die Schwere des Verstoßes kann dann anhand der zeitlichen Dauer des Verstoßes, der Anzahl der betroffenen Personen und /oder auch dem Schadensausmaß ermittelt werden. Das Bußgeld kann sodann aber auch noch modifiziert werden, indem bestimmte Prozentsätze abgezogen oder addiert werden. Beispielsweise soll eine Erhöhung um 25-50 Prozent bei einem vorsätzlichen oder absichtlichen Verstoß erfolgen können.

Die genaue Berechnung soll zwar zu einer nachvollziehbaren Vereinheitlichung führen, ist allerdings sehr komplex. Das detaillierte Bußgeldkonzept der DSK der DSK finden Sie in der Verlinkung. Im Groben soll die Berechnung nach folgendem Schema und in fünf Schritten vorgenommen werden:

  • "Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.) danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.),

    dann ein wirtschaftlicher Grundwert ermittelt (3.),

    dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors

    multipliziert (4.) und

    abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.)."

Zusammenfassung:

    • Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDS) verpflichtet jeden "Verantwortlichen" zu bestimmten datenschutzrechtlichen Maßnahmen.
    • Hierdurch ergeben sich bestimmte Auskunftspflichten, Fürsorgepflichten und Organisationspflichten.
    • "Verantwortlicher" ist jeder, der per­so­nen­be­zo­ge­ne Da­ten ver­ar­bei­tet und das nicht aus­sch­ließlich zu persönli­chen oder fa­mi­liären Zwe­cken tut.

      Dies trifft also auf alle Arbeitgeber zu, so dass diese durch die DSGVO verpflichtet sind.

    • Betriebe mit derzeit mindestens zehn (zukünftig - nach Beschluss des Bundestags - aber 20) Arbeitnehmern müssen einen Datenschutzbeauftragten benennen.
    • Bei einem Verstoß gegen datenschutzrechtliche Vorgaben wird von der Datenschutzbehörde ein Bußgeld verhängt.
    • Dieses Bußgeld kann bei Unternehmen bis zu zwei Prozent - in Ausnahmefällen auch bis zu vier Prozent- des weltweiten Jahresumsatzes betragen.
    • Auf der 2. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wurden nun Kriterien aufgestellt, um die Höhe des Bußgelds berechenbar zu machen.

      Siehe hierzu das Bußgeldkonzept der DSK.

    • Diese Kriterien werden nun in der Praxis erprobt und nach Abschluss der Testphase sollen sie (ggf. modifiziert) flächendeckend angewendet werden.

Ihr Anwalt im Arbeitsrecht in Köln und Bonn:

Wir unterstützen und beraten Sie bei der Einhaltung der datenschutzrechtlichen Vorgaben nach DSGVO. Außerdem sind wir Ihre Fachanwaltskanzlei im gesamten Arbeitsrecht und im gesamten Wirtschaftsrecht (Steuerrecht, Insolvenzrecht, Handels- und Gesellschaftsrecht).

Dr. Patrizia Antoni ist Fachanwältin für Arbeitsrecht und Fachanwältin für Steuerrecht. Sie berät Sie in allen arbeitsrechtlichen und steuerrechtlichen Fragestellungen an unserem Standort in Köln gerne.

Kontaktieren Sie uns unverbindlich und vereinbaren Sie einen Termin in den Büros der Kanzlei AHS Rechtsanwälte in Köln, aber gerne auch telefonisch.

Diese Fachbeiträge könnten Sie auch interessieren: