Unter dem Titel: ” Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen” hat die DSK in der jüngsten Sitzung vorbehaltlich einer europäischen Regelung durch die EDSA einen einheitlichen Bußgeldrahmen vorgelegt. Wie die Datenschutzaufsichtsbehörden ausdrücklich betonen, richtet sich der Bußgeldrahmen nicht gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Im Umkehrschluss sollte allerdings festgehalten werden, dass auch natürliche Personen, soweit sie wirtschaftlich, zum Beispiel als Vermieter, tätig sind, sehr wohl vom Bußgeldrahmen erfasst werden.
Bußgeldrahmen kann künftig ausgeschöpft werden
Der Rahmen erleichtert die Orientierung und macht deutlich, dass je nach Schwere der Verstöße und Häufigkeit künftig die maximal mögliche Höhe Höhe durchaus ausgeschöpft werden kann und wird.
Das Konzept
Die Zuweisung von Bußgeldern erfolgt in fünf Schritten:
1.
Zuordnung eines Unternehmens zu einer Größenklasse
2.
Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe
des Unternehmens
3. Ermittlung des wirtschaftlichen
Grundwerts
4. Ermittlung des Faktors der Tatumstände
5.
Berücksichtigung sonstiger noch nicht berücksichtigter Umstände
der Tat
1. Die Größenklassen
A: Kleinstunternehmen
A1: Jahresumsatz bis 700.000,00
Euro
A2: Jahresumsatz über 700.000,00 bis 1,4 Mio. Euro
A3:
Jahresumsatz über 1,4 Mio. bis 2 Mio.
Euro
__________________________________________
B: Kleinunternehmen
B1: Jahresumsatz über 2 Mio. bis 5 Mio.
Euro
B2: Jahresumsatz über 5 Mio. bis 7,5 Mio. Euro
B3:
Jahresumsatz über 7,5 Mio. bis 10 Mio. Euro
__________________________________________
C: Mittlere Unternehmen
C1: Jahresumsatz über 10 Mio. bis
12,5 Mio. Euro
C2: Jahresumsatz über 12,5 Mio. bis 15 Mio.
Euro
C3: Jahresumsatz über 15 Mio. bis 20 Mio. Euro
C4:
Jahresumsatz über 20 Mio. bis 25 Mio. Euro
C5: Jahresumsatz
über 25 Mio. bis 30 Mio. Euro
C6: Jahresumsatz über 30 Mio.
bis 40 Mio. Euro
C7: Jahresumsatz über 40 Mio. bis 50 Mio. Euro
__________________________________________
D: Großunternehmen
D1: Jahresumsatz über 50 Mio. bis 75
Mio. Euro
D2: Jahresumsatz über 75 Mio. bis 100 Mio. Euro
D3:
Jahresumsatz über 100 Mio. bis 200 Mio. Euro
D4: Jahresumsatz
über 200 Mio. bis 300 Mio. Euro
D5: Jahresumsatz über 300 Mio.
bis 400 Mio. Euro
D6: Jahresumsatz über 400 Mio. bis 500 Mio.
Euro
D7: Jahresumsatz über 500 Mio. Euro
2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
A1: 350.000,00 Euro
A2: 1.050.000,00 Euro
A3: 1,7 Mio.
Euro
__________________________________________
B1: 3,5 Mio. Euro
B2: 6,25 Mio. Euro
B3: 8,75 Mio. Euro
__________________________________________
C1: 11,25 Mio. Euro
C2: 13,75 Mio. Euro
C3: 17,5 Mio.
Euro
C4: 22,5 Mio. Euro
C5: 27,5 Mio. Euro
C6: 35 Mio.
Euro
C7: 45 Mio. Euro
__________________________________________
D1: 62,5 Mio. Euro
D2: 87,5 Mio. Euro
D3: 150 Mio.
Euro
D4: 250 Mio. Euro
D5: 350 Mio. Euro
D6: 450 Mio.
Euro
D7: konkreter Jahresumsatz
__________________________________________
3. Ermittlung des wirtschaftlichen Grundwerts
Hier wird der mittlere Jahresumsatz der Gruppe durch 360 geteilt und so der Tagesumsatz ermittelt.
A1: 972 Euro
A2: 2.917 Euro
A3: 4.722 Mio. Euro
__________________________________________
B1: 9.722 Euro
B2: 17.361 Euro
B3: 24.306 Euro
__________________________________________
C1: 31.250 Euro
C2: 38.194 Euro
C3: 48.611 Euro
C4:
62.500 Euro
C5: 76.389 Euro
C6: 97.222 Euro
C7:
125.000 Euro
__________________________________________
D1: 173.611 Euro
D2: 243.056 Euro
D3: 416.667 Euro
D4:
694.444 Euro
D5: 972.222 Euro
D6: 1,25 Mio. Euro
D7:
konkreter Tagessatz
__________________________________________
4. Multiplikation des Grundwertes mit dem Schweregrad der Tat
Leicht
Faktor für formelle Verstöße gemäß Art. 83 Abs. 4 DS-GVO: 1 bis 2
Faktor für materielle Verstöße gemäß Art. 83 Abs. 5, 6 DS-GVO: 1 bis 4
Mittel
Faktor für formelle Verstöße gemäß Art. 83 Abs. 4 DS-GVO: 2 bis 4
Faktor für materielle Verstöße gemäß Art. 83 Abs. 5, 6 DS-GVO: 4 bis 8
Schwer
Faktor für formelle Verstöße gemäß Art. 83 Abs. 4 DS-GVO: 4 bis 6
Faktor für materielle Verstöße gemäß Art. 83 Abs. 5, 6 DS-GVO: 8 bis 12
Sehr schwer
Faktor für formelle Verstöße gemäß Art. 83 Abs. 4 DS-GVO: 6 <
Faktor für materielle Verstöße gemäß Art. 83 Abs. 5, 6 DS-GVO: 12 <
5. Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände
Zu nennen sind täterbezogene Umstände nach Art. 83 Abs. 2 DS-GVO sowie sonstige Umstände (Verfahrensdauer, drohende Zahlungsunfähigkeit).
Die Botschaft der Behörden
Für Unternehmen jeglicher Größenklasse sollte klar sein, Verstöße gegen den Datenschutz sind keine Kavaliersdelikte, über die man mit einem Augenzwinkern hinweg sehen kann. Angemessen, aber wirksam sollen Bußgelder sein.
Die Praxis in den Unternehmen
Die praktische Erfahrung zeigt, dass in nahezu allen Unternehmen ein Beratungsbedarf und, in sehr vielen Fällen, eine Notwendigkeit zur Um- und Reorganisation von Prozessen besteht. In vielen Fällen führt dieser Prozess zudem zu einem höheren Sicherheitsniveau in der Datenverarbeitung. Datenschutz und Datensicherheit verhalten sich häufig wie kommunizierende Röhren. Ein höheres Datenschutzniveau geht oftmals mit einem höheren Sicherheitsniveau einher.
Datenschutz rechnet sich
Natürlich verursacht die Umsetzung der DS-GVO im Unternehmen zunächst einmal Kosten, denen in aller Regel zunächst kein (sichtbarer) Ertrag gegenübersteht. Dies dürfte der Hauptgrund für die nach wie vor häufig anzutreffenden “Datenschutzverweigerer” sein.
Die Rechnung verändert sich deutlich, wenn ein Unternehmen von einer Kontrolle oder einem Datenunfall (data breach) betroffen ist.
Der wichtigste Grund, warum es sinnvoll ist, in Datenschutz zu investieren, dürfte mittelfristig darin liegen, dass die Zahl der Bürgerinnen und Bürger, die eine höhere Sensibilität für den Umgang mit ihren Daten entwickelt, ansteigen wird.
Weitere Informationen
Weitere Informationen unter info@dsb-baden-baden.de oder unter Telefon 07221 – 8589943