Die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) haben sich jetzt auf ein Konzept der Bußgeldzumessung geeinigt. Das Konzept ist nur ein Modell der Behörden, die Gerichte können mit ihren Strafen weit über die neu definierten Grenzen hinausgehen. Und es dient als Übergangslösung, bis der Datenschutzausschuss der EU Leitlinien erlässt.
Die maximale Höhe von Bußgeldern bei Verstößen gegen die Datenschutzgrundversorgung (DSGVO) liegt bei 20 Mio. Euro (oder 4 Prozent des weltweiten Umsatzes). Diese Zahlen wurden mittlerweile durch gerichtlich festgesetzte Bußgelder gegen Google (50 Mio. Euro) und H&M (34,3 Mio. Euro) längst getoppt. Aber nicht jedes Unternehmen, dass es mit dem Datenschutz nicht so ernst meint, führt wie bei H&M geheime Kassiber über Mitarbeiter.
Mängel in Websites häufig
Der häufigere Fall ist, dass zum Beispiel die Gesetze in Bezug auf die Programmierung der Firmenwebsite nicht umgesetzt werden. Das gilt zum Beispiel für das sogenannte Cookie-Banner, das neuerdings so gestaltet sein muss, dass der Besucher nicht einfach zustimmt oder ablehnt, ob Daten erfasst werden. Sondern er muss im Detail auswählen, welche Art von Erhebung er zulassen will. Bei vielen fehlte auch eine gesetzlich geforderte Unterseite zum Thema Datenschutz. Oder das Impressum entspricht nicht den Vorschriften. Die Experten sprechen dann von einem leichten Verstoß.
Umsatz ist die Basis
Und so funktioniert die Bußgeldformel: Im ersten Schritt wird das betroffene Unternehmen einer von vier Umsatz-Größenklassen und einer von je drei Unterklassen zugeteilt. Die kleinsten Unternehmen finden sich in Gruppe A (bis 2 Mio. Jahresumsatz) wieder, die größeren in B (2 bis 5 Mio.). Die Gruppe C reicht von 10 bis 50 Mio. Und in Gruppe D finden sich alle über 50 Mio. Im zweiten Schritt wird ein mittlerer Jahresumsatz bestimmt. Im Schritt 3 wird der wirtschaftliche Grundwert ermittelt, der mittlere Jahresumsatz der zuvor festgelegten Untergruppe durch 360 (Tage) geteilt und aufgerundet.
Schwere ist Multiplikator
Nun kommt im Schritt 4 ein Multiplikationsfaktor hinzu, der sich über die Schwere des Verstoßes definiert. Die Grade sind leicht, mittel, schwer und sehr schwer. Dabei fließen Art und Dauer des Verstoßes, die Zahl der betroffenen Personen, der Ausmaß des Schadens, die Bereitschaft zur Kooperation und ob finanzielle Vorteile erlangt wurden. Bei formellen Verstößen liegt der Faktor bei 1 bis 6, bei Verstößen materieller Art reicht die Skala bis hinauf zu 12. Final wird noch ein Grundwert ermittelt, dass Faktoren erfasst wie Dauer des Verfahrens oder eine drohende Insolvenz des Beschuldigten.
Behörden reagieren auf Hinweise
Am Ende ist es doch ganz einfach: Ist die Datenschutzerklärung in der Website eines Kleinstunternehmers mit 80.000 Euro Jahresumsatz falsch, muss der mit einem Bußgeld von knapp 2.000 Euro rechnen. Wer sich selbst von 2.000 Euro nur ungern trennt, sollte also dringend prüfen, ob die Erwartungen der DSGVO an die eigene Homepage vollumfänglich erfüllt werden. Angst vor einem Scanning der Website durch die Behörden muss man nicht haben. Bei den bisherigen Bußgeldverfahren waren in der Regel Hinweise ehemaliger Mitarbeiter, unzufriedener Kunden oder unfreundlicher Wettbewerber Anlass für die Ermittlungen der behördlichen Datenschützer von Bund und Ländern.
Autor:
Unternehmen OWL – Bild © DatrnschutzStockfoto – stock.adobe.com