Bisher legten die Datenschutzbehörden aus Bund und Ländern die Höhe der Bußgelder bei Datenschutz-Verstößen innerhalb der gesetzlichen Vorgaben weitgehend individuell fest. Ein von den Datenschutzbehörden gemeinsam entwickeltes Konzept mit fünf Kriterien für die Höhe soll das Verfahren zur Ermittlung der Bußgelder künftig transparent und nachvollziehbar machen.
Mit der DSGVO erhöhte sich der Strafrahmen bei Datenschutz-Verstößen ganz erheblich und in schwerwiegenden Fällen können jetzt durchaus Bußgelder in Millionenhöhe verhängt werden (→ Strafen wegen Verstößen gegen die Datenschutzgrundverordnung).
Keine eindeutigen Vorgaben für Höhe der DSGVO-Geldbußen im Gesetz
Wie genau diese Beträge allerdings festgesetzt werden, ist im Gesetz nicht festgeschrieben und hierzulande, wo Bußgelder u.a. durch die verschiedenen Landesbehörden verhängt werden, fehlt es an einheitlichen Regelungen, sodass es zu deutlichen Unterschieden beim Strafmaß kommen kann. Das ist für Rechtssicherheit und Akzeptanz allerdings nicht von Vorteil.
Einheitlicher Bußgelder für Datenschutzverstöße von Unternehmen
Um diese Unsicherheit zu verringern und die Ermittlung der Bußgelder für die Betroffenen nachvollziehbar, transparent sowie einzelfallgerecht zu gestalten, haben sich die Datenschutzbehörden des Bundes und der Länder auf ein einheitliches Konzept zur Ermittlung der Bußgelder geeinigt. Angewandt wird dieses Konzept nur bei der Feststellung der Bußgelder gegen Unternehmen.
Bei Vereinen oder natürlichen Personen außerhalb ihrer wirtschaftlichen Tätigkeit findet es dagegen keine Anwendung. Auch für Datenschutzbehörden in anderen EU-Staaten sind die Regelungen nicht bindend.
5 Kriterien für die Höhe der DSGVO-Bußgelder
Die Unternehmensbußgelder werden nach dem neuen Konzept anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:
- Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
- Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
- Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
- Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
- Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.
Weitere Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.
Bußgelder bei unzureichenden Tracking- bzw. Cookie-Bannern angekündigt
Von solchen Bußgeldern durch die Datenschutzbehörden könnten demnächst auch Unternehmen betroffen werden, die die Besucher ihrer Websites nur unzureichend über Tracking-Maßnahmen wie Cookies informieren bzw. keine ausreichenden Einwilligungen bei den Nutzern zu diesen Maßnahmen einholen.
Eine entsprechende Ankündigung zur Aussendung erster Bußgeldbescheide aufgrund derartiger Verstöße machte etwa das Bayerische Landesamt für Datenschutz, das bereits Anfang des Jahres zahlreiche Unternehmens-Websites geprüft und beanstandet hatte.
In Spanien verhängte die dortige Datenschutzaufsicht wegen eines solchen unzureichenden Cookie-Banners kürzlich ein Bußgeld in Höhe von 30.000 EUR gegen eine Billig-Fluglinie .
EuGH-Urteil zu Cookies & Co.
Nach einem kürzlich ergangenen Urteil des Europäischen Gerichtshofs (C-673/17) müssen Website-Besucher, deren Daten durch Cookies bzw. Tracking-Tools wie Google Analytics oder Google AdWords erfasst werden, dem Setzen solcher technisch nicht notwendigen Cookies explizit zustimmen. Eine bereits voreingestellte Zustimmung, etwa durch eine bereits angeklickte Option, die die Website-Besucher durch Anklicken einer OK-Schaltfläche übernehmen können, genügt diesen Anforderungen dagegen nicht.
Weitere News zum Thema
Datenschutzbehörde beanstandet bei 40 Unternehmen Einsatz von Marketing-Tool
EuGH: Website-Betreiber müssen für eingebundene Like-Buttons Nutzer-Einwilligung einholen
Hintergrund: Was sind Cookies?
Als Cookies werden kurze Textdateien bezeichnet, die von den Webservern auf die Rechner oder auch Smartphones der Internetsurfer übertragen und dort gespeichert werden. Sie dienen primär zur Identifikation der Seitenbesucher oder enthalten Informationen über die Aktivitäten des Nutzers auf den Webseiten.
So lassen sich z.B. die virtuellen Warenkörbe in Online-Shops hierüber realisieren oder einmal vorgenommene Einstellungen der Nutzer speichern. In sehr vielen Fällen werden Cookies aber auch Website-übergreifend, etwa von Werbenetzwerken gesetzt, um hierüber das Surfverhalten der Nutzer nachvollziehen zu können.