Bußgeldberechnung bei Datenschutzvorfall und -mängel

Bußgeldberechnung bei Datenschutzvorfall und -mängel

Die DSGVO trat 2018 in Kraft, aber noch immer kann man behaupten, der Datenschutz hat nicht in jeder Einrichtung Einzug gehalten. So veröffentlichte Capgemini im September 2019 einen Bericht, wonach nur etwas mehr als ein Viertel befragter Unternehmen in Europa, den USA und Indien meinen, datenschutzkonform aufgestellt zu sein.

Gründe für die zögerliche Umsetzung

Es gibt eine Vielzahl von Gründen, weshalb ein Unternehmen noch kein Datenschutzmanagementsystem eingeführt hat. Zum einen wurde möglicherweise die Bedeutsamkeit des Datenschutzes noch nicht erkannt. Zum anderen erhalten andere, direkte Profit versprechende Maßnahmen Vorzug bei der Zeiteinteilung, während man für den Datenschutz möglichst wenig Zeit opfern möchte. Eventuell wird die Auseinandersetzung mit dem Datenschutz auch immer wieder nach hinten geschoben. Es soll auch Firmen geben, die für den Datenschutz keine monetären Reserven aufbringen möchten – wenn es bisher funktionierte, denkt sie optimistisch, dass solch ein Fall auch in Zukunft nicht eintreten wird. All diese Gründe sind aus unternehmerischer Sicht verständlich – wir empfehlen dennoch, ein Datenschutzmanagementsystem in Ihrer Einrichtung zu implementieren. Dabei helfen wir Ihnen gern.

Gefahren bei fehlendem Datenschutz

Wenn ein Unternehmen sich nicht mit der DSGVO und der Umsetzung des Datenschutzes in der eigenen Firma auseinandersetzt, läuft es allerdings auch Gefahr, Opfer eines Hacker-Angriffs o. Ä. zu werden. Möglicherweise fällt auch einer betroffenen Person der fehlende Datenschutz auf. Es kann sogar passieren, dass die Datenschutzaufsichtsbehörde eine Prüfung ohne besonderen Anlass durchführt. Dabei kann es zu empfindlichen Bußgeldstrafen kommen. Ein Cyber-Angriff kann eine deutliche Existenzgefahr für ein Unternehmen darstellen. Da kann ein Verantwortlicher also nicht voraussehen, welche Kosten auf ihn zukommen könnten. Hierbei kann es sogar sein, dass das Bußgeld der Datenschutzaufsichtsbehörde verschlimmernd dazukommt. Die Datenschutzaufsichtsbehörde selbst verhängt – je nach Schwere des Vergehens – eine Bußgeldstrafe von bis zu EUR 20.000.000 oder 4 % des Jahresumsatzes (herangezogen wird der Umsatz des vorhergegangenen Geschäftsjahres).

Ursachen für ein Bußgeld

Wie schon angedeutet, kann der Grund für ein Bußgeld gemäß Art. 83 DSGVO eine Kontrolle ohne Anlass sein. Es kann aber auch sein, dass ein meldepflichtiger Datenschutzvorfall eingetreten ist. (Mehr zu diesem Thema hier.) Als Folge dessen kann die Datenschutzaufsichtsbehörde entscheiden, ein Bußgeld zu verhängen. Alternativ ist vielleicht kein Datenschutzvorfall eingetreten, aber der Behörde kommt eine Beschwerde einer betroffenen Person zu, deren Anfrage nicht (korrekt) beantwortet wurde. Auch dies kann ein Grund sein, dass die Behörde genauer nachhakt. Vielleicht zeigt sich die Aufsichtsbehörde jedoch kulant und spricht nur eine Warnung aus. Geschieht dies, ist zu empfehlen, möglichst rasch das Thema Datenschutz im Unternehmen zu bearbeiten. Die Behörde wird erneut prüfen. Wenn sie dann noch zusätzlich feststellt, dass die Warnung ignoriert worden ist, fließt dies nachteilig in die Bußgeldberechnung ein.

Kriterien für die Bußgeldberechnung

Art. 83 DSGVO zählt mehrere Kriterien auf, die bei der Bußgeldbemessung mit einfließen. Dabei stellt die Behörde sich folgende Fragen:

1)    Welche Art von Verstoß wurde begangen?

2)    Wie schwer wiegt der Verstoß?

3)    War der Verstoß von kurzer Dauer und einmalig oder bestand dieser Verstoß für einen längeren Zeitraum?

4)    Was ist die Art, der Umfang oder der Zweck der jeweiligen Verarbeitung?

5)    Wie viele Personen sind von der Verarbeitung betroffen?

6)    Wie hoch ist das Ausmaß des von den Betroffenen erlittenen Schadens?

7)    Liegt dem Vorfall Vorsätzlichkeit oder Fahrlässigkeit zugrunde?

8)    Welche Maßnahmen wurden vom jeweiligen Unternehmen getroffen, um den entstandenen Schaden zu mindern?

9)    Welche Verantwortung trifft die Firma (in Anbetracht von Art. 25 DSGVO und Art. 32 DSGVO)?

10)  Gibt es vorangegangene Datenschutzverstöße?

11)  Wie steht es um die Kooperationsbereitschaft mit der Aufsichtsbehörde, um den Schaden und mögliche nachteilige Folgen zu mindern?

12)  Welche Kategorien personenbezogener Daten sind von dem Verstoß betroffen?

13)  Wie wurde die Aufsichtsbehörde auf diesen Verstoß aufmerksam (Meldung durch Verantwortlichen oder Betroffenen, Umfang der Meldung)?

14)  Gab es in Bezug zum Verantwortlichen frühere Warnungen, Meldungen, Anordnungen etc.?

15)  Werden genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren nach Art. 42 DSGVO eingehalten?

16)  Wurden durch den Verstoß finanzielle Vorteile errungen oder Verluste vermieden?

Wie aus den oben genannten Bedingungen ersichtlich wird, gibt es viele Punkte, die zu bedenken sind, liegt ein Datenschutzvorfall oder -mangel vor.

Bußgeldrechner

Im Internet kursieren mehrere DSGVO-Bußgeldrechner. Diese sollen helfen, den ungefähren Bußgeldbetrag einschätzen zu können. Diese Rechner sind mehr oder weniger detailliert. Es wird allerdings mindestens der Jahresumsatz, die Art und die mutmaßlich Schwere des Verstoßes abgefragt. Diese Rechner sind sicherlich hilfreich, jedoch sollte man sich nicht auf diese verlassen. Die Aufsichtsbehörde kann einen Vorfall immer noch anders einschätzen als man es selbst annimmt.

Fazit und die Lösung

Ein Datenschutzvorfall ist mit Sicherheit nicht zu empfehlen.

Wenn Sie Ihr Unternehmen zu den Firmen zählen möchten, die datenschutzkonform aufgestellt sind, aber (fortführende) Beratung benötigen, rufen Sie uns an. Wir erstellen für Sie gern ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.