Bald Bußgeldkatalog für Datensünder?

Update:
Am 14.10.2019 hat die Datenschutzkonferenz ein Konzept zur Bußgeldzumessung für Verstöße von Unternehmen gegen die datenschutzrechtlichen Bestimmungen der DSGVO veröffentlicht.
Dies ist nicht für Verstöße von Vereinen oder Privatpersonen anwendbar und gilt zudem nur für innerdeutsche Verstöße. Darüber hinaus entfaltet es keine Wirkung gegenüber Gerichten im Hinblick auf die Festlegung von Geldbußen.

Kritikpunkt: bei größeren Unternehmen kann das Konzept schnell zu überhöhten Bußgeldern führen, welche dann voraussichtlich in einem Klageverfahren durch Gerichte angepasst werden müssen.

Der Beschluss ist nachzulesen unter: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf

—-

Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder hat auf ihrer Sitzung 25.6.2019 ein unter Federführung der Berliner Aufsichtsbehörde im Arbeitskreis „Sanktionen“ erstellten Bußgeldkatalog mehrheitlich bestätigt und als „geeignete Grundlage für die Zumessung von Bußgeldern“ dessen Weiterentwicklung beauftragt.

Wie aus dem erst am 22.08.19 veröffentlichten Protokoll der 2. Zwischenkonferenz 2019 hervorgeht, sollen – offensichtlich über die föderalen Zuständigkeiten der Aufsichtsbehörden hinweg – einheitliche Regeln für die Bußgeldbemessung nach den Regelungen der europäischen Datenschutzgrundverordnung transparent vereinbart werden. Auch wenn die Rechtswirkung eines solchen Beschlusses gering ist, wäre die Signalwirkung für erheblich höhere Bußgelder sicherlich enorm.

Bußgelder müssen sich grundsätzlich an den Bedingungen des Einzelfalls orientieren, für deren Bemessung der Artikel 83 der Datenschutzgrundverordnung bereits klare Vorgaben aufstellt.

Danach sind neben Art, Schwere und Dauer des Verstoßes, getroffenen Maßnahmen zur Verringerung des Schadens und der Grad der Verantwortlichkeit auch die vorsätzliche oder fahrlässige Art der Begehung sowie „etwaige einschlägige frühere Verstöße des Verantwortlichen“ zu berücksichtigen. Auch der Umfang der Zusammenarbeit mit der Aufsichtsbehörde bildet einen berücksichtigungsfähigen Maßstab für die Höhe eines Bußgeldes. Aber vor allem die in Artikel 83 Absatz 4, 5 und 6 genannten 2 bzw. 4 % des weltweiten Umsatzes dürften zu einer umsatzbezogenen Bußgeldhöhe führen, die auch den traditionell schonenden Umgang der deutschen Aufsichtsbehörden mit diesem Mittel beenden.

Der Bußgeldkatalog sieht Folgendes vor:

1. Bemessungsgrundlage: Tagessatz (= weltweiter Umsatz des Vorjahres / 365)

2. Faktor entsprechend Schwere des Verstoßes (von Faktor 1 bis 4 für leichte Verstöße bis zu Faktor 12 bis 14,4 für sehr schwere Verstöße)

Die Schwere eines Verstoßes wird dabei nach einem Punktesystem bewertet, welches

• die Dauer des Verstoßes
• die Zahl der betroffenen Personen
• das Ausmaß des erlittenen Schadens
• ergriffene Maßnahmen zur Schadensminimierung und
• die Zusammenarbeit mit der Aufsichtsbehörde

berücksichtigt.

3. Erhöhung bzw. Reduzierung in Abhängigkeit vom Grad des Verschuldens

• 25% Abzug bei geringer / unbewusster Fahrlässigkeit
• 25% Zuschlag bei Inkaufnahme / Kenntnis
• 50% Zuschlag bei Absicht

4. Zuschlag für „Wiederholungstäter“

• 50% Zuschlag bei einem früheren Verstoß
• 150% Zuschlag bei zwei früheren Verstößen
• 300% Zuschlag bei drei oder mehr früheren Verstößen

Auch deshalb lohnt sich eine frühzeitige und proaktive Auseinandersetzung mit Datenschutzvorfällen im Unternehmen ebenso, wie eine angemessenen Reaktion auf Betroffenenbeschwerden und behördliche Anfragen. „In unserer Beratungstätigkeit hat sich eine frühzeitige und umfassende Information der Datenschutzaufsichtsbehörden immer als der bessere Weg herausgestellt,“ so Karsten Neumann von ECOVIS® Rostock zu den bisherigen Erfahrungen aus aufsichtsbehördlichen Prüfverfahren bei Mandanten der externen Datenschutzberatung.

Quelle: https://www.datenschutzkonferenz-online.de/media/pr/20190622_pr_mainz.pdf