13. September 2022

Höhe der Bußgelder bei DSGVO-Verstößen

Inhaltsverzeichnis

In der EU und besonders in Deutschland können haben wir ein Recht darauf, wie mit unseren Daten umgegangen wird. Wir können explizit entscheiden, was mit unseren Daten passiert. Vorausgesetzt, dass jeder sich an die Regeln hält.

Die DSGVO kennt hierbei kein Erbarmen. Wer sich nicht an die Grundverordnung hält und falsch mit personenbezogenen Daten umgeht, für den- oder diejenige wird es teuer. Und zwar sofort. Nur bei kleinen Verstößen darf eine Verwarnung einer Geldbuße vorgezogen werden.
Der folgende Beitrag gibt einen Überblick darüber, für welche Verstöße welche Bußgelder anfallen können.

Aktuelle Geldbußen für Verstöße gegen die DSGVO

Die Strafen, die verlangt werden gehen von wenigen hundert Euro bis zu mehreren Millionen. Ein paar Beispiele zeigt die nachfolgende Tabelle.

DatumBußgeldGrundBeschuldigterQuelle
05.09.202210.000 €Veröffentlichung der personenbezogenen Daten eines Dritten auf einem Onlineblog.PrivatpersonSpanische Datenschutzbehörde
05.09.20224,05 Mio. €Datenschutzverletzung Minderjähriger.Instagram (Meta)PM Irish Examiner
08.06.20221.800 €Abfrage von Informationen zu Freunden und Kollegen aus Polizeisystemen.PolizeibeamterHessische Beauftragte für Datenschutz
08.06.2022170 €Verwendung der Corona-Kontaktnachverfolgung zur Identifizierung eines nicht zahlenden Kunden.RestaurantbesitzerHessische Beauftragte für Datenschutz
27.05.202165.500 €Unzureichender Schutz vor fremden Datenzugriff durch veralteten Online-ShopOnline-Shop-InhaberNiedersächsische Beauftragte für Datenschutz

Wie man sehr gut sieht, unterscheiden sich die Strafen sehr stark. Auch wenn kein Vorsatz vorliegt, kann man schnell Persönlichkeitsrechte verletzen. Eine gute Kenntnis mit personenbezogenen Daten ist daher vor allem im Unternehmensumfeld maßgeblich und eine Voraussetzung an alle Mitarbeitenden. Regelmäßige Schulungen und interaktive Workshops helfen dabei, sich immer wieder mit den Vorgaben auseinanderzusetzen und Gefahren einordnen zu können.

Bußgelder orientieren sich an Kriterienkatalog

Bußgelder dienen in erster Linie als Disziplinarmaßnahme. Sie müssen in jedem Einzelfall verhältnismäßig und gleichzeitig abschreckend sein. Jedes Vergehen ist dabei mit einem Bußgeld versehen. Allerdings existiert ein Spielraum für die zu erhebenden Bußgelder. Vorsetzlichkeit, Wiederholung eines Vergehens oder fehlende Zusammenarbeit erhöhen das Strafmaß und somit das Bußgeld meist erheblich.

„[…] Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.“

Art. 83 DSGVO Abs. 5

Grundlegend für die Berechnung der Geldbußen ist der Art. 83 DSGVO Abs. 5, welcher das Höchststrafmaß festlegt. Hierbei dürfen die Geldbußen mit maximal 20.000.000 € oder 4 % des vergangenen Jahresumsatzes eines Unternehmens festgesetzt werden.

Die genaue Festlegung der Bußgelder obliegt den jeweiligen Aufsichtsbehörden. In Deutschland richtet sich die Zuständigkeit nach dem Bundesland, in welchem das Unternehmen seinen Sitz hat. Dies hat zur Folge gehabt, dass ähnliche Vergehen mit unterschiedlichen Bußgeldern belegt worden. Deshalb entschied man sich auf der Datenschutzkonferenz 2019 für einen Kriterienkatalog, der eine einheitlichere Berechnung des Strafmaßes ermöglichen sollte.

Berechnung des Grundwertes

Zunächst wird das betreffende Unternehmen in eine Klasse eingeordnet, dessen Jahresumsatz mit dem mittleren Jahresumsatz in der jeweiligen Klasse und Stufe übereinstimmt.

KMU Klasse AKMU Klasse BKMU Klasse CKonzern Kl. D
A1: ≤ 350.000 €B1: ≤ 3,5 Mio. €C1: ≤ 11,25 Mio. €D1: ≤ 62,5 Mio. €
A1: ≤ 1.050.000 €B2: ≤ 6,25 Mio. €C2: ≤ 13,75 Mio. €D2: ≤ 87,5 Mio. €
A1: ≤ 1,7 Mio. €B3: ≤ 8,75 Mio. €C3: ≤ 17,5 Mio. €D3: ≤ 150 Mio. €
C4: ≤ 22,5 Mio. €D4: ≤ 250 Mio. €
C5: ≤ 27,5 Mio. €D5: ≤ 350 Mio. €
C6: ≤ 35 Mio. €D6: ≤ 450 Mio. €
C7: ≤ 45 Mio. €D7: indiv. Jahresumsatz
Tab. 2 – Klassifikation der Unternehmen anhand ihres Jahresumsatzes in die Klassen A – D

Diese mittleren Jahresumsätze werden danach durch 360 (Tage) geteilt, sodass sich ein mittlerer Tagessatz für die Klassen A-D ergibt:

KMU Klasse AKMU Klasse BKMU Klasse CKonzern Kl. D
A1: 972 €B1: 9.722 €C1: 31.250 €D1: 173.611€
A1: 2.917 €B2: 17.361 €C2: 38.194 €D2: 243.056 €
A1: 4.722 €B3: 24.306 €C3: 48.611 €D3: 416.667 €
C4: 62.500 €D4: 694.444 €
C5: 76.389 €D5: 972.222 €
C6: 97.222 €D6: 1,25 Mio. €
C7: 125.000€D7: indiv. Tagessatz
Tab. 3 – Berechnung eines anzusetzenden Tagessatzes, ausgehend von der vorhergehenden Tabelle

Anhand der ersten Tabelle, lässt sich ein Unternehmen in eine Klasse einordnen und kann aus der darauffolgenden Tabelle, den anzunehmenden Tagessatz ablesen. Als Beispiel, wenn Ihr Unternehmen ein Jahresumsatz von 21,4 Mio. € im Vorjahr getätigt hat, würde das Unternehmen in Klasse C4 fallen. Für die Klasse C4 wiederum wird zur Berechnung des Bußgeldes ein Tagessatz von 62.500 € angesetzt. Dies ist der Grundwert, der zur Berechnung des anzusetzenden Bußgeldes herangezogen wird.

Berechnung des Multiplikationsfaktors

Der zuvor abgelesene Grundwert, wird entsrechend des Vergehens mit einem Faktor multipliziert. Dieser Faktor richtet sich dabei anhand des Schweregrads des Vergehens. Die Unterscheidung erfolgt dabei in die vier Kategorien: Leicht, Mittel, Schwer, Sehr-Schwer.

SchweregradFaktor für formelle Verstöße
(Art. 83, Abs. 4 DSGVO)
Faktor für materielle Verstöße
(Art. 83, Abs. 5, 6 DSGVO)
Leicht1 – 21 – 4
Mittel2 – 44 – 8
Schwer4 – 68 – 12
Sehr Schwer > 6> 12
Tab. 4 – Anzusetzender Multiplikationsfaktor für die Berechnung des Bußgeldes eines DSGVO Vergehens

Der zuvor abgelesene Tagessatz (Tab. 3) wird anschließend mit einem passenden Faktor aus Tabelle 4 multipliziert. So würde das Unternehmen aus dem vorherigen Beispiel, welches in Kategorie C4 eingeordnet wurde, den Tagessatz von 62.500 € mit einem Faktor zwischen 1 und 12 multiplizieren. Der daraus berechnete Wert, entspricht dem vorläufigen Bußgeld.

Anpassung des Bußgeldes bei gegebenen Umständen

Der bisher berechnete Wert spiegelt im Normalfall das zu erwartende Bußgeld wieder. Bei besonderen Umständen jedoch, kann dieses Bußgeld nocht weiter angeboben werden. Solche Umstände können z. B. Wiederholungstaten, fehlende Zusammenarbeit mit den Behörden oder geringe Schnelligkeit bei der Umsetzung von Gegenmaßnahmen sein. Verhindert ein Unternehmen zum Beispiel eine Aufklärung, kann die Aufsichtsbehörde die Strafe um mehr als 100 % anheben.

Beispiel: Die Schnelldruck GmbH

Die Schnelldruck GmbH ist ein Druckerei-Unternehmen mit verschiedensten Druckprodukten. Letztes Jahr konnte das Unternehmen ein Umsatz von 41 Mio. € erwirtschaften. Da die Firma viele teure Maschinen besitzt, wurden alle Räume mit Kameras ausgestattet. Da ein Mitarbeiter findet, dass viele Kameras an unzulässigen Stellen angebracht sind, meldet er sich anonym bei der zugehörigen Datenschutzbehörde. Diese erscheint wiederum bei der Schnelldruck GmbH und möchte der Meldung nachgehen. Die Schnelldruck GmbH verweigert eine Hilfsbereitschaft. Nach langem Hin und Her, besichtigt die Behörde das Unternehmen und stellt 9 Kameras fest, die unzulässig installiert sind. Unter anderem der Pausenraum.

Anhand des Umsatzes, fällt das Unternehmen in die Klasse C7. Da es sich hierbei um ein schweren Verstoß handelt, multipliziert die Behörde den Tagessatz von 125.000 € mit dem Faktor 8. Dies entspricht ein Bußgeld von 1 Mio. €. Da das Unternehmen außerdem nicht an der Aufklärung mitgeholfen hat, wird das Bußgeld um nochmals 25 % angehoben. Letzendlich muss das Unternehmen 1,25 Mio. € an Strafe zahlen.

DSGVO-Bußgeldrechner

Mit dem DSGVO-Bußgelkdrechner, kannst du für dein Unternehmen berechnen, in welchem Rahmen sich die zu zahlenden Strafen bewegen würden. Anhand des Jahresumsatzes aus dem letzten Jahr, kannst du dein Unternehmen in die entsprechende Kategorie aus Tabelle 2 einordnen. Die dazugehörige Klasse (z. B. D2) kannst du dann unten in das Formular eintragen. Daraufhin siehst, du wie hoch die Strafen für das berechnete Unternehmen sein könnten.

Wähle die Klasse



Folgende Bußgelder könnten sich ergeben:Schweregrad
Leicht
Mittel
Schwer
Sehr Schwer

Weitere Artikel
DSGVO Strafen
Höhe der Bußgelder bei DSGVO-Verstößen

Wer die Regeln der DSGVO nicht einhält, kommt um ein Bußgeld selten herum. Welche Bußgelder, für welches Vergehen gezahlt werden, ist dabei sehr unterschiedlich.

Blogbeitrag WordPress
WordPress-Sicherheit – Was ist zu tun!

WordPress ist das meistgenutzte CMS weltweit. Aus diesem Grund wächst auch das Interesse Cyberkrimineller. Wie du dich richtig schützen kannst und worauf zu achten ist, zeigen wir dir!