Ein neues Modell für die Berechnung von DSGVO-Bußgeldern erhöht mögliche Strafzahlungen | Actonic – Unfolding your potential

Ein neues Modell für die Berechnung von DSGVO-Bußgeldern erhöht mögliche Strafzahlungen

Seien wir ehrlich – Millionen-Euro-Bußgelder sollen in Deutschland Realität werden. Die deutschen Datenschutzbehörden haben sich auf ein neues Modell zur Berechnung der DSGVO-Geldbußen am oberen Ende der in Artikel 83 genannten Grenzwerte geeinigt.  Wenn Deutschland den Weg ebnet, ist es sehr wahrscheinlich, dass andere europäische Länder folgen werden. Das Modell wurde dem Europäischen Datenschutzausschuss vorgelegt, der ausdrücklich seine Absicht bekundet hat, EU-weit einheitliche Bußgeldpraktiken sicherzustellen.  Wir glauben daher, dass es nur eine Frage der Zeit ist, bis ein harmonisiertes Strafverfahren auf der Grundlage des deutschen Modells entwickelt wird.

Wie funktioniert es?

Das von den deutschen Datenschutzbehörden entwickelte Modell ist recht kompliziert und berücksichtigt eine Reihe von Parametern. Schauen wir es uns genauer an und versuchen, eine bessere Vorstellung davon zu bekommen, wie es funktioniert.

Zunächst werden Unternehmen anhand ihrer Größe in Kategorien eingeteilt. Die Größe eines Unternehmens wird durch seinen weltweiten Umsatz im Vorjahr bestimmt. Nach diesem Parameter fällt ein Unternehmen in eine der folgenden Kategorien, die dann weiter in Untergruppen unterteilt werden:

  • sehr klein (bis zu 2 Mio. EUR),
  • klein (von 2 bis 10 Mio. EUR),
  • mittelgroß (10 bis 50 Mio. EUR),
  • groß (über 50 Mio. EUR).

Danach wird der durchschnittliche Jahresumsatz des Unternehmens berechnet. Beträgt der durchschnittliche Jahresumsatz weniger als 500 Millionen Euro, wird dem Unternehmen aufgrund seiner zuvor festgelegten Größe und Untergruppe (sehr klein, klein, mittelgroß oder groß) eine „feste durchschnittliche Umsatzgebühr“ zugewiesen. Wenn der durchschnittliche Jahresumsatz mehr als 500 Mio. EUR beträgt, wenden die Datenschutzbehörden den Höchstsatz gemäß Artikel 83 an, das heißt 2% oder 4%, je nach Verstoß.

Der nächste Schritt ist die Berechnung des „Tagessatzes“ durch Division. Hier wird der durchschnittlichen Jahresumsatzes der betreffenden Untergruppe durch 360 Tage geteilt. Anhand des Tagessatzes werden dann die regulären Bußgeldkorridore in Abhängigkeit von der Schwere der Zuwiderhandlung ermittelt. Alle Verstöße werden nach dem wahrgenommenen Schweregrad in vier Gruppen eingeteilt und jeder Gruppe wird ein bestimmter Bereich von Multiplikatoren zugewiesen:

  • Geringfügiger Verstoß: Multiplikatorbereich von 1 bis 4;
  • Durchschnittlicher Verstoß: Multiplikatorbereich von 4 bis 8;
  • Schwerer Verstoß: Multiplikatorbereich von 8 bis 12;
  • Sehr schwerer Verstoß: Multiplikatorbereich von 12 bis 14,4.

Die Bewertung des Schweregrads führt zur Bestimmung des regulären Bußgeldkorridors, der sich aus der Multiplikation des Tagessatzes mit dem Multiplikatorbereich für den entsprechenden Schweregrad ergibt. Die Datenschutzbehörden bestimmen dann den Medianwert, der die Grundlage für die Feinberechnung bildet.

Schließlich wird die Zuwiderhandlung von Fall zu Fall weiter eingestuft, und die Geldbuße wird geändert, um die folgenden Kriterien bei der Bemessung des Bußgeldes zu berücksichtigen:

  • Dauer der Zuwiderhandlung;
  • Art, Zweck und Umfang der rechtswidrigen Datenverarbeitung;
  • die Anzahl der betroffenen Personen;
  • Schaden für betroffene Personen.

Jedes dieser Kriterien erhält eine Bewertung von 0 bis 4 (maximal 16), die bestimmt, ob ein zusätzlicher Multiplikator angewendet werden soll. Die Datenschutzbehörden berücksichtigen auch andere mildernde oder erschwerende Faktoren. Beispielsweise kann die Zusammenarbeit mit den Behörden und das Ergreifen von Maßnahmen zur Schadensminderung von Vorteil sein, während die Vorgeschichte früherer Verstöße zu einer erheblichen Erhöhung der Geldbuße führen kann. Erst nach Abschluss aller Schritte können die Datenschutzbeauftragten den endgültigen Bußgeldbetrag ermitteln.

Beispiel: Unternehmen A erzielte 2019 einen weltweiten Umsatz von 40 Millionen Euro. Daher wird es als mittelständisches Unternehmen, Teilkonzern CVI, mit einer festen jährlichen Umsatzgebühr von 35 Millionen Euro eingestuft. Um den Tagessatz zu berechnen, teilen wir 35 Millionen durch 360 und erhalten 97.222 EUR. Der Verstoß von Unternehmen A wurde als schwerwiegend eingestuft, sodass der reguläre Bußgeldkorridor zwischen 777.776 EUR und 1.166.664 EUR liegen wird. Der Mittelwert beträgt 972.220 EUR. Das ist die Basis für die Berechnung der Strafe. Der Gesamtbetrag der Geldbuße hängt jedoch vom Ausmaß des Schadens, den Folgen für die betroffenen Personen und anderen Faktoren ab und wird von den Datenschutzbehörden weiter festgelegt. 

Sind Sie DSGVO konform?

Wie Sie sehen, ist das neue Modell sehr komplex. Es wurde bereits kritisiert und wir müssen erst noch abwarten, wie es umgesetzt wird. Eines ist jedoch sicher: Dieses Modell wird zu viel höheren Bußgeldern führen, als die deutschen Behörden bisher verhängt haben. Wenn Sie noch keine vollständige Anpassung sichergestellt haben, ist dies Ihr „Weckruf“. Wenn Sie sensible Daten verarbeiten, empfehlen wir Ihnen, Ihre Datenschutzprozesse zu untersuchen, um potenzielle Datenschutzverletzungen oder andere Verstöße im Rahmen der DSGVO zu verhindern. Eine der einfachsten Möglichkeiten, die DSGVO-Anforderungen in Jira und Confluence zu erfüllen, besteht darin, die Add-Ons GDPR (DSGVO) and Security for Jira oder GDPR (DSGVO) and Security for Confluence  zu verwenden, die den Datenschutz in Jira und Confluence von Grund auf gewährleisten. Diese Add-Ons verfügen über integrierte Funktionen für die Überwachung persönlicher Daten, die Überwachung von Berechtigungen, das Einholen von Einwilligungen, die permanente Anonymisierung, das Erstellen von Datenregeln für die Prozessautomatisierung usw.

Die Einhaltung der DSGVO in Jira und Confluence kann einfach und bequem sein. Starten Sie gleich unsere kostenlose Testversion, um zu sehen, wie es funktioniert, und Sie müssen sich keine Sorgen mehr über übermäßige Bußgelder machen. 


 

Weitere Informationen zur Einhaltung der DSGVO finden Sie in den Artikeln dieser Reihe:

Lassen Sie uns in Kontakt bleiben! Folgen Sie uns auf LinkedInFacebookXING und Twitter und abonnieren Sie unseren Newsletter, um regelmäßige Updates, Tipps und Sonderangebote direkt in Ihre Mailbox zu erhalten.

WhatsApp-Chat
Please accept our privacy policy first to start a conversation.