Gemäß des Artikels 83 der Datenschutzgrundverordnung (DSGVO) können Geldbußen durch die Datenschutz-Aufsichtsbehörden unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes verhängt werden. Dabei sollen die Aufsichtsbehörden nach Vorgabe des europäischen Gesetzgebers sicherstellen, dass die verhängten Geldbußen verhältnismäßig und abschreckend sind.
Rechtlicher Rahmen
Für Verstöße gegen einige Normen der DSGVO können bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes (des vorangegangenen Geschäftsjahrs), für schwerwiegendere Verstöße gegen Artikel der DSGVO und Paragraphen des Bundesdatenschutzgesetzes (BDSG) gar bis zu 20 000 000 EUR oder bis zu 4 % seines gesamten weltweiten Jahresumsatzes, verhängt werden. Bei der prozentualen Bemessung der Geldbuße am Jahresumsatz, richtet sich die Definition des „Unternehmens“ nach Art. 101 und 102 Vertrag über die Arbeitsweise der Europäischen Union (AEUV), Unternehmen meint demnach einen Konzern. So lassen die Datenschutz-Aufsichtsbehörden auch komplette Konzernumsätze in die Berechnung einfließen.
Der gesetzliche Höchstrahmen der Datenschutzgrundverordnung gliedert sich groß in zwei Kategorien:
| Geldbuße maximal | Oder prozentual | Bei Verstoß gegen | |
| Art. 83 Abs. 4 | bis zu 10 000 000 EUR oder | bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes | Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft |
| Art. 83 Abs. 4 | bis zu 10 000 000 EUR oder | bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes | Art. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist |
| Art. 83 Abs. 4 | bis zu 10 000 000 EUR oder | bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes | Art. 25 bis 39 |
| Art. 83 Abs. 4 | bis zu 10 000 000 EUR oder | bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes | Art. 42 Zertifizierung |
| Art. 83 Abs. 4 | bis zu 10 000 000 EUR oder | bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes | Art. 43 Zertifizierungsstellen |
| Art. 83 Abs. 5 | bis zu 20 000 000 EUR oder | bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes | Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten |
| Art. 83 Abs. 5 | bis zu 20 000 000 EUR oder | bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes | Art. 6 Rechtmäßigkeit der Verarbeitung |
| Art. 83 Abs. 5 | bis zu 20 000 000 EUR oder | bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes | Art. 7 Bedingungen für die Einwilligung |
| Art. 83 Abs. 5 | bis zu 20 000 000 EUR oder | bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes | Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten |
| Art. 83 Abs. 5 | bis zu 20 000 000 EUR oder | bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes | Artt. 12 bis 22 Rechte der betroffenen Person |
| Art. 83 Abs. 5 | bis zu 20 000 000 EUR oder | bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes | Artt. 44 bis 49 Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland |
| Art. 83 Abs. 5 | bis zu 20 000 000 EUR oder | bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes | Kapitel IX alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten (Verstöße gegen das BDSG) |
| Art. 83 Abs. 5 | bis zu 20 000 000 EUR oder | bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes | Artikel 58 Absatz 1 Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1 |
| Art. 83 Abs. 5 | bis zu 20 000 000 EUR oder | bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes | Artikel 58 Absatz 2 Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde |
Spielraum der Aufsichtsbehörden
Die tatsächliche Höhe der Bußgelder richtet sich gem. Art. 83 Abs. 2 nach verschiedenen Gesichtspunkten. So spielt die Art, Schwere und Dauer des Verstoßes eine Rolle zur Bemessung der Höhe, aber auch die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes oder z. B. der Umfang der Zusammenarbeit mit den Aufsichtsbehörden.
Bei der Entscheidung der Höhe der verhängten Geldbußen ist jede Aufsichtsbehörde in ihrer Entscheidung frei und da in der Bundesrepublik Deutschland 17 Datenschutz-Aufsichtsbehörden für juristische Personen bestehen, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Bußgeldkonzept zur Harmonisierung der Bußgeldhöhe beschlossen, bis der Europäische Datenschutzausschuss (EDSA) ein eigenes europäisches Konzept veröffentlicht hat.
Dabei werden fünf Schritte bei der Bemessung angelegt:
Bestimmung der Größenklasse des Unternehmens → Unternehmensgröße nach mittlerem Jahresumsatz → Ermittlung des wirtschaftlichen Grundwerts × Faktor der Schwere der Tatumstände → Anpassung des Wert anhand täterbezogene und sonstige Umstände.
Die Bestimmung der Größenklasse des Unternehmens erfolgt zunächst auf Grundlage des weltweit erzielten Vorjahresumsatz in den zwei Hauptgruppen „Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU)“ und „Großunternehmen“, die Hauptgruppe KMU ist wiederrum in die Untergruppen „Kleinstunternehmen“, „Kleine Unternehmen“ und „Mittlere Unternehmen“ kategorisiert.
Danach erfolgt die Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe durch den mittleren Jahresumsatz in diversen Untergruppen.
Für die Ermittlung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet.
Weiter folgt anhand der konkreten tatbezogenen Umstände anhand des Schweregrads des Einzelfalls eine Einordnung des Schweregrads in die Gruppen „Leicht“, „Mittel“, „Schwer“ oder „Sehr schwer“. Schließlich wird der Grundwert auf Grundlage der Umstände angepasst, soweit diese noch nicht berechnet wurden. Diese Umstände können zum Beispiel eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens sein.
Beispiele
Vorab möchten wir darauf hinweisen, dass die hier von uns auf Grundlage des DSK-Bußgeldkonzeptes berechneten Beispiele keinerlei Anspruch auf Richtigkeit oder tatsächlicher verhängter Höhe eines Bußgeldes einer Datenschutz-Aufsichtsbehörde haben und sind als Richtfaden zu sehen.
| Beispiele | Rechtl. Höchstrahmen | Kleines Unternehmen mit 6,25 Mio. € Umsatz, leichter Schweregrad (1) und keiner Anpassung des Grundwertes | Großunternehmen mit 150 Mio. € Umsatz, sehr schwerem Schweregrad (6) und keiner Anpassung des Grundwertes |
| Unterlassen der Ernennung eines DSB (Art. 83 Abs. 4 DSGVO) | bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes | 17.361 € | 2.500.002 € |
| Beispiele | Rechtl. Höchstrahmen | Kleinstunternehmen mit 1,7 Mio. € Umsatz, leichter Schweregrad (1) und keiner Anpassung des Grundwertes | Mittleres Unternehmen mit 17,5 Mio. € Umsatz, mittlerer Schwere (4) und keiner Anpassung des Grundwertes |
| Fehlen von Vereinbarungen zur Auftragsverarbeitung | bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes | 4.722 € | 194.444 € |
| Beispiele | Rechtl. Höchstrahmen | Kleinstunternehmen mit 350 T€ Umsatz, leichter Schweregrad (1) und keiner Anpassung des Grundwertes | Kleines Unternehmen mit 6,25 Mio. € Umsatz, leichter Schweregrad (1) und keiner Anpassung des Grundwertes |
| Keine Dokumentation des VVT | bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes | 972 € | 17.361 € |