Anfang Januar sorgte ein Bußgeldbescheid der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) für Aufsehen. Auf eine Beschwerde des Datenschutzaktivisten Max Schrems verhängte die Behörde ein Bußgeld in einer Höhe von 50 Millionen Euro. Und das gegen den Branchenriesen Google.
Das Bußgeld verhängt die CNIL, weil sie der Auffassung ist, dass die Datenschutzbestimmungen Googles schlecht zu finden sind und in einigen Punkten unklar. Darüber hinaus lägen nicht die Einwilligungen der Nutzer für die Verwendung ihrer personenbezogenen Daten vor. Die Höhe erklärt sich aus der Gesetzesnovellierung im Zuge der DSGVO. Bußgelder sind nicht mehr gedeckelt, sondern ergeben sich aus dem Umsatz des Unternehmens.
Das Bußgeld zeigt: Die Behörden verfolgen Datenschutzverstöße konsequent und schrecken auch nicht vor einer Auseinandersetzung mit Giganten wie Google oder Facebook (wie ein Fall aus den USA zeigt) zurück.
Bußgelder können sehr teuer werden
Seitdem die DSGVO in Kraft getreten ist, können keine festen Aussagen mehr über die Höhe des Bußgeldes getroffen werden. Anstatt eines festen Bußgeldkatalog werden die Strafen individuell festgelegt, ausgehend von der Umsatzhöhe des Unternehmens oder Institution.
Die Einführung dieser Regelung ist darin begründet, dass Unternehmen wie Google, Amazon oder Facebook, auf die bisher kein herkömmlicher Bußgeldkatalog sinnvoll angewendet wird, ebenfalls mit schmerzhaften Strafen belegbar sind.
Die genaue Vorgehensweise, wie die Höhe eines Bußgeldes zu bestimmen ist, haben vor einigen Monaten die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) festgelegt.
So wird die Höhe des Bußgeldes festgelegt
Damit die Höhe des Bußgeldes rechtssicher ist, keiner Willkür unterliegt und trotzdem auch auf Unternehmen mit enormen Umsatzgrößen anwendbar ist, gilt ein System, das sich aus dem Jahresumsatz des Unternehmens, der Schwere des Datenschutzverstoß, dem Grad des Verschuldens ergibt. Auch Wiederholungsvergehen sind hier verrechenbar.
Jahresumsatz
Aus dem Jahresumsatz des Unternehmens errechnet sich die Höhe eines Tagessatzes für das Bußgeld. Dieser Tagessatz dient als Berechnungsgrundlage für das Bußgeld. Dabei ist es nun unerheblich, ob der Datenschutzverstoß von einem Tochterunternehmen ausging oder vom Mutterkonzern. Es kann immer der Umsatz der ganzen Konzerngruppe für die Berechnung des Tagessatzes herangezogen werden.
Der Tagessatz ergibt sich aus dem Jahresumsatz, dividiert durch 365. Sollte der Konzern Amazon beispielsweise wegen einem Datenschutzverstoß ein Bußgeld auferlegt bekommen, würde sich der Tagessatz wie folgt berechnen (Umsatz von 2018):
232.900.000 US-Dollar: 365 = 638.082 Dollar Tagessatz
Der Datenschutzverstoß
Für die Höhe des Bußgeldes wird dieser Tagessatz mit einem Wert zwischen 1 und 14,4 verrechnet. Dieser Wert ergibt sich aus der Schwere des Datenschutzverstoßes, wobei der Wert höher wird, je schwerer der Verstoß war. Um die mögliche Höhe eines solchen Bußgeldes zu illustrieren ziehen wir nochmal das Beispiel Amazon heran:
Tagessatz von 638.082 Dollar x 14,4 (im schlimmsten Fall) = 9.188.384 Dollar
Der Grad des Verschuldens
Sollte der Verstoß entweder durch grobe Fahrlässigkeit oder durch Vorsatz entstanden sein, kann sich das Bußgeld noch weiter erhöhen. So wird kriminelles Verhalten schwerer bestraft als bloße Fahrlässigkeit.
In einem Fall von grober Fahrlässigkeit oder Vorsatz kann das Bußgeld noch um bis zu 50% erhöht werden. Im Beispiel von Amazon würde dies bedeuten.
9.188.384 Dollar + 50% = 13.782.575 Dollar.
Wiederholungstaten
Wenn der Datenschutzverstoß wiederholt begangen worden ist, werden diese Wiederholungen nicht in Fällen, sondern in Tagen gemessen. Ab dem ersten Wiederholungstag wird das Bußgeld wieder um 50% erhöht. Jeder weitere Wiederholungstag erhöht entsprechend die Höhe des Bußgeldes. Auf diese Weise können so enorme Summen, wie in dem Fall von Google, zustande kommen.
Hohe Bußgelder werden tatsächlich verhängt
Die Erfahrung aus den letzten Monaten zeigt: Seit dem Inkrafttreten der DSGVO gehen Behörden systematisch gegen Datenschutzverstöße vor und die Bußgelder können sehr teuer werden. Es lohnt sich für Unternehmen, nicht nur im Interesse einer vertrauenserweckenden Öffentlichkeitsarbeit, den Datenschutz ernst zu nehmen.