In der EU und besonders in Deutschland können haben wir ein Recht darauf, wie mit unseren Daten umgegangen wird. Wir können explizit entscheiden, was mit unseren Daten passiert. Vorausgesetzt, dass jeder sich an die Regeln hält.
Die DSGVO kennt hierbei kein Erbarmen. Wer sich nicht an die Grundverordnung hält und falsch mit personenbezogenen Daten umgeht, für den- oder diejenige wird es teuer. Und zwar sofort. Nur bei kleinen Verstößen darf eine Verwarnung einer Geldbuße vorgezogen werden.
Der folgende Beitrag gibt einen Überblick darüber, für welche Verstöße welche Bußgelder anfallen können.
Aktuelle Geldbußen für Verstöße gegen die DSGVO
Die Strafen, die verlangt werden gehen von wenigen hundert Euro bis zu mehreren Millionen. Ein paar Beispiele zeigt die nachfolgende Tabelle.
| Datum | Bußgeld | Grund | Beschuldigter | Quelle |
|---|---|---|---|---|
| 05.09.2022 | 10.000 € | Veröffentlichung der personenbezogenen Daten eines Dritten auf einem Onlineblog. | Privatperson | Spanische Datenschutzbehörde |
| 05.09.2022 | 4,05 Mio. € | Datenschutzverletzung Minderjähriger. | Instagram (Meta) | PM Irish Examiner |
| 08.06.2022 | 1.800 € | Abfrage von Informationen zu Freunden und Kollegen aus Polizeisystemen. | Polizeibeamter | Hessische Beauftragte für Datenschutz |
| 08.06.2022 | 170 € | Verwendung der Corona-Kontaktnachverfolgung zur Identifizierung eines nicht zahlenden Kunden. | Restaurantbesitzer | Hessische Beauftragte für Datenschutz |
| 27.05.2021 | 65.500 € | Unzureichender Schutz vor fremden Datenzugriff durch veralteten Online-Shop | Online-Shop-Inhaber | Niedersächsische Beauftragte für Datenschutz |
Wie man sehr gut sieht, unterscheiden sich die Strafen sehr stark. Auch wenn kein Vorsatz vorliegt, kann man schnell Persönlichkeitsrechte verletzen. Eine gute Kenntnis mit personenbezogenen Daten ist daher vor allem im Unternehmensumfeld maßgeblich und eine Voraussetzung an alle Mitarbeitenden. Regelmäßige Schulungen und interaktive Workshops helfen dabei, sich immer wieder mit den Vorgaben auseinanderzusetzen und Gefahren einordnen zu können.
Bußgelder orientieren sich an Kriterienkatalog
Bußgelder dienen in erster Linie als Disziplinarmaßnahme. Sie müssen in jedem Einzelfall verhältnismäßig und gleichzeitig abschreckend sein. Jedes Vergehen ist dabei mit einem Bußgeld versehen. Allerdings existiert ein Spielraum für die zu erhebenden Bußgelder. Vorsetzlichkeit, Wiederholung eines Vergehens oder fehlende Zusammenarbeit erhöhen das Strafmaß und somit das Bußgeld meist erheblich.
„[…] Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.“
Art. 83 DSGVO Abs. 5
Grundlegend für die Berechnung der Geldbußen ist der Art. 83 DSGVO Abs. 5, welcher das Höchststrafmaß festlegt. Hierbei dürfen die Geldbußen mit maximal 20.000.000 € oder 4 % des vergangenen Jahresumsatzes eines Unternehmens festgesetzt werden.
Die genaue Festlegung der Bußgelder obliegt den jeweiligen Aufsichtsbehörden. In Deutschland richtet sich die Zuständigkeit nach dem Bundesland, in welchem das Unternehmen seinen Sitz hat. Dies hat zur Folge gehabt, dass ähnliche Vergehen mit unterschiedlichen Bußgeldern belegt worden. Deshalb entschied man sich auf der Datenschutzkonferenz 2019 für einen Kriterienkatalog, der eine einheitlichere Berechnung des Strafmaßes ermöglichen sollte.
Berechnung des Grundwertes
Zunächst wird das betreffende Unternehmen in eine Klasse eingeordnet, dessen Jahresumsatz mit dem mittleren Jahresumsatz in der jeweiligen Klasse und Stufe übereinstimmt.
| KMU Klasse A | KMU Klasse B | KMU Klasse C | Konzern Kl. D |
|---|---|---|---|
| A1: ≤ 350.000 € | B1: ≤ 3,5 Mio. € | C1: ≤ 11,25 Mio. € | D1: ≤ 62,5 Mio. € |
| A1: ≤ 1.050.000 € | B2: ≤ 6,25 Mio. € | C2: ≤ 13,75 Mio. € | D2: ≤ 87,5 Mio. € |
| A1: ≤ 1,7 Mio. € | B3: ≤ 8,75 Mio. € | C3: ≤ 17,5 Mio. € | D3: ≤ 150 Mio. € |
| C4: ≤ 22,5 Mio. € | D4: ≤ 250 Mio. € | ||
| C5: ≤ 27,5 Mio. € | D5: ≤ 350 Mio. € | ||
| C6: ≤ 35 Mio. € | D6: ≤ 450 Mio. € | ||
| C7: ≤ 45 Mio. € | D7: indiv. Jahresumsatz |
Diese mittleren Jahresumsätze werden danach durch 360 (Tage) geteilt, sodass sich ein mittlerer Tagessatz für die Klassen A-D ergibt:
| KMU Klasse A | KMU Klasse B | KMU Klasse C | Konzern Kl. D |
|---|---|---|---|
| A1: 972 € | B1: 9.722 € | C1: 31.250 € | D1: 173.611€ |
| A1: 2.917 € | B2: 17.361 € | C2: 38.194 € | D2: 243.056 € |
| A1: 4.722 € | B3: 24.306 € | C3: 48.611 € | D3: 416.667 € |
| C4: 62.500 € | D4: 694.444 € | ||
| C5: 76.389 € | D5: 972.222 € | ||
| C6: 97.222 € | D6: 1,25 Mio. € | ||
| C7: 125.000€ | D7: indiv. Tagessatz |
Anhand der ersten Tabelle, lässt sich ein Unternehmen in eine Klasse einordnen und kann aus der darauffolgenden Tabelle, den anzunehmenden Tagessatz ablesen. Als Beispiel, wenn Ihr Unternehmen ein Jahresumsatz von 21,4 Mio. € im Vorjahr getätigt hat, würde das Unternehmen in Klasse C4 fallen. Für die Klasse C4 wiederum wird zur Berechnung des Bußgeldes ein Tagessatz von 62.500 € angesetzt. Dies ist der Grundwert, der zur Berechnung des anzusetzenden Bußgeldes herangezogen wird.
Berechnung des Multiplikationsfaktors
Der zuvor abgelesene Grundwert, wird entsrechend des Vergehens mit einem Faktor multipliziert. Dieser Faktor richtet sich dabei anhand des Schweregrads des Vergehens. Die Unterscheidung erfolgt dabei in die vier Kategorien: Leicht, Mittel, Schwer, Sehr-Schwer.
| Schweregrad | Faktor für formelle Verstöße (Art. 83, Abs. 4 DSGVO) | Faktor für materielle Verstöße (Art. 83, Abs. 5, 6 DSGVO) |
|---|---|---|
| Leicht | 1 – 2 | 1 – 4 |
| Mittel | 2 – 4 | 4 – 8 |
| Schwer | 4 – 6 | 8 – 12 |
| Sehr Schwer | > 6 | > 12 |
Der zuvor abgelesene Tagessatz (Tab. 3) wird anschließend mit einem passenden Faktor aus Tabelle 4 multipliziert. So würde das Unternehmen aus dem vorherigen Beispiel, welches in Kategorie C4 eingeordnet wurde, den Tagessatz von 62.500 € mit einem Faktor zwischen 1 und 12 multiplizieren. Der daraus berechnete Wert, entspricht dem vorläufigen Bußgeld.
Anpassung des Bußgeldes bei gegebenen Umständen
Der bisher berechnete Wert spiegelt im Normalfall das zu erwartende Bußgeld wieder. Bei besonderen Umständen jedoch, kann dieses Bußgeld nocht weiter angeboben werden. Solche Umstände können z. B. Wiederholungstaten, fehlende Zusammenarbeit mit den Behörden oder geringe Schnelligkeit bei der Umsetzung von Gegenmaßnahmen sein. Verhindert ein Unternehmen zum Beispiel eine Aufklärung, kann die Aufsichtsbehörde die Strafe um mehr als 100 % anheben.
Beispiel: Die Schnelldruck GmbH
Die Schnelldruck GmbH ist ein Druckerei-Unternehmen mit verschiedensten Druckprodukten. Letztes Jahr konnte das Unternehmen ein Umsatz von 41 Mio. € erwirtschaften. Da die Firma viele teure Maschinen besitzt, wurden alle Räume mit Kameras ausgestattet. Da ein Mitarbeiter findet, dass viele Kameras an unzulässigen Stellen angebracht sind, meldet er sich anonym bei der zugehörigen Datenschutzbehörde. Diese erscheint wiederum bei der Schnelldruck GmbH und möchte der Meldung nachgehen. Die Schnelldruck GmbH verweigert eine Hilfsbereitschaft. Nach langem Hin und Her, besichtigt die Behörde das Unternehmen und stellt 9 Kameras fest, die unzulässig installiert sind. Unter anderem der Pausenraum.
Anhand des Umsatzes, fällt das Unternehmen in die Klasse C7. Da es sich hierbei um ein schweren Verstoß handelt, multipliziert die Behörde den Tagessatz von 125.000 € mit dem Faktor 8. Dies entspricht ein Bußgeld von 1 Mio. €. Da das Unternehmen außerdem nicht an der Aufklärung mitgeholfen hat, wird das Bußgeld um nochmals 25 % angehoben. Letztendlich muss das Unternehmen 1,25 Mio. € an Strafe zahlen.
DSGVO-Bußgeldrechner
Mit dem DSGVO-Bußgelkdrechner, kannst du für dein Unternehmen berechnen, in welchem Rahmen sich die zu zahlenden Strafen bewegen würden. Anhand des Jahresumsatzes aus dem letzten Jahr, kannst du dein Unternehmen in die entsprechende Kategorie aus Tabelle 2 einordnen. Die dazugehörige Klasse (z. B. D2) kannst du dann unten in das Formular eintragen. Daraufhin siehst, du wie hoch die Strafen für das berechnete Unternehmen sein könnten.
| Folgende Bußgelder könnten sich ergeben: | Schweregrad |
|---|---|
| Leicht | |
| Mittel | |
| Schwer | |
| Sehr Schwer |
