Die deutsche Datenschutzkonferenz (DSK) hat kürzlich ein neues System zur Berechnung der nach der DSGVO verhängten Bußgelder veröffentlicht.
Das deutsche Modell ist etwas komplex, es berechnet Bußgelder in fünf Schritten:
- Zuordnung des Unternehmens zu einer Größenklasse
- Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
- Berechnung eines wirtschaftlichen Grundwertes (Tagesumsatz)
- Multiplikation des Grundwertes nach Schweregrad der Tat
- Klassifizierung des Verstoßes
1. Zuordnung des Unternehmens zu einer Größenklasse
Das zuwiderhandelnde Unternehmen wird einer von vier möglichen Gruppen zugordnet: (A) Kleinstunternehmen, (B) Kleinunternehmen, (C) mittelständisches Unternehmen und (D) Großunternehmen. Gleichzeitig wird ihm eine Unterkategorie zugewiesen, um eine möglichst genaue Klassifizierung zu gewährleisten.
Die Klassifizierung erfolgt nach dem weltweiten Unternehmensumsatz des Vorjahres. Es ist wichtig herauszustellen, dass das Unternehmenskonzept bei Unternehmensgruppen die gesamte wirtschaftliche Einheit umfasst. Kurz gesagt wird für die Berechnung das in den Antitrust-Vorschriften der Europäischen Union vorgesehene Konzept der Unternehmensgruppe verwendet.
2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
Ebenso ermittelt die Datenschutzkonferenz den durchschnittlichen Jahresumsatz des Unternehmens. Hierfür wird der Unterkategorie, in die das Unternehmen eingeordnet wurde, ein fester Betrag zugewiesen, sofern der Umsatz des Vorjahres unter 500.000 € lag.
Bei höheren Umsätzen werden die in Artikel 83 DSGVO vorgesehenen Prozentsätze von 2 oder 4 % direkt auf den Unternehmensumsatz angewendet.
3. Berechnung des wirtschaftlichen Grundwertes (Tagesumsatz)
Zur Berechnung des Tagesumsatzes wird der bestimmte durchschnittliche Jahresumsatz des Unternehmens aus dem vorherigen Schritt durch 360 Tage geteilt.
4. Multiplikation des Grundwertes nach Schweregrad der Tat
Anhand der Umstände jedes Falles wird die Schwere des Verstoßes als leicht, mittel, schwer oder sehr schwer eingestuft.
Der Multiplikator ergibt sich in Abhängigkeit davon, ob der Verstoß formell (Artikel 83.4 DSGVO) oder materiell (Artikel 83.5 und 83.6 DSGVO) ist.
Beispiele für formelle Verstöße sind das Fehlen einer Vertragsformalisierung des Verantwortlichen oder Mitverantwortlichen, die Verletzung von Privacy by Design und Privacy by Default oder die Nicht-Ernennung eines Datenschutzbeauftragten, usw.
Zu den materiellen Verstößen zählen die Verletzung der Rechte der Betroffenen oder die Verletzung der Legitimationsgrundlage für die Verarbeitung personenbezogener Daten.
Schließlich muss der Grundwert (Tagesumsatz) mit dem erhaltenen Faktor multipliziert werden, was zu einer Bandbreite führt. Aus dieser Bandbreite wird ein Durchschnitt berechnet, der die Grundlage für die finale Berechnung der Geldbuße bildet.
5. Klassifizierung des Verstoßes
In diesem letzten Schritt werden die Art des Verstoßes und die Folgen für die Betroffenen, die Anzahl der Betroffenen, das Ausmaß des erlittenen Schadens usw. berücksichtigt.
Die Konsequenzen des neuen Systems dürften darin bestehen, dass den Unternehmen erheblich höhere Bußgelder auferlegt werden, da der Jahresumsatz tendenziell ansteigen wird.
Darüber hinaus stellen Experten die Frage, ob das umsatzbasierte Berechnungsmodell verhältnismäßig ist. Möglicherweise landet das System am Ende vor Gericht.
