data protection

Article

Schonfrist für Daten­schutz­­verstöße ist vorbei: Erstmals Bußgeld über EUR 14,5 Mio. verhängt!

Getroffen hat es eine große deutsche Immobiliengesellschaft. Die unzulässige Datenspeicherung sollte eigentlich zu einem noch deutlich höheren Bußgeld geführt haben. Damit ist klar, dass Verstöße gegen den Datenschutz kein Kavaliersdelikt (mehr) sind.

Es ist weitläufig bekannt, dass die Anforderungen aus der Datenschutzgrundverordnung (DSGVO) in vielen Unternehmen noch nicht (vollständig) umgesetzt sind. Nachdem mehrere europäische Länder bereits empfindliche Bußgelder für nachlässige Unternehmen verhängt hatten, ziehen die deutschen Behörden nunmehr nach. Dabei hätte es noch schlimmer kommen und grundsätzlich auch ein Bußgeld von EUR 28 Mio. verhängt werden können. Nur die unmittelbar eingeleiteten Maßnahmen zur Bereinigung der Datenschutzverstöße wirkten bußgeldmindernd.

Bußgeldkatalog

Auf der Basis der Leitlinien für die Anwendung und Festsetzung von Geldbußen in Verfahren gegen Unternehmen im Anwendungsbereich der DSGVO hat die Datenschutzkonferenz (DSK) vor kurzem ein Rechenmodell veröffentlicht, das eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung ermöglichen soll.

Die Bußgeldzumessung in Verfahren gegen Unternehmen erfolgt hiernach in fünf Schritten: (i) Das jeweilige Unternehmen wird einer bestimmten Größenklasse zugeordnet, die sich am Jahresumsatz orientiert. (ii) Die Behörde bestimmt den mittleren Jahresumsatz und (iii) anschließend den wirtschaftlichen Grundwert. Letzterer orientiert sich am Tagessatz – also dem mittleren Umsatz dividiert durch 360. Dieser Wert wird (iv) multipliziert mit einem Faktor, der die Schwere der Tat widerspiegelt und (v) schließlich anhand „täterbezogener und sonstiger noch nicht berücksichtigter Umstände“ angepasst.

Steigende Risiken

Nachdem in Europa bereits empfindliche Bußgelder für Datenschutzverstöße verhängt wurden (etwa in Frankreich in Höhe von EUR 50 Mio. oder in Großbritannien in Höhe von EUR 200 Mio.) ziehen die deutschen Behörden nunmehr nach. Die nun erstmalig verhängten Bußgelder in Millionenhöhe, namentlich in Höhe von EUR 14,5 Mio. markieren dabei - obwohl nur erster vorsichtiger Schritt – eine echte Zäsur. Für die nahe Zukunft erwarten wir noch deutlich höhere Bußgelder.

Der aktuelle Fall zeigt, wie die Behörden das neue Bußgeldberechnungsmodell zur Anwendung bringen (können). Selbst bei leichtem Datenschutzverstoß wird der Tagessatz unter Umständen mit dem Faktor 1 bis 4 multipliziert. Hat ein Unternehmen also etwa einen Jahresumsatz von EUR 200 Mio., beträgt der Tagessatz EUR 555.555. Auch bei leichten Datenschutzverstößen droht damit ein Bußgeld von EUR 555.555 Euro bis EUR 2,2 Mio. Bei schweren Datenschutzverstößen beginnt das Bußgeld in diesem Fall bei EUR 7,2 Mio. Je höher der weltweite Jahresumsatz, desto höher das Bußgeld. Bei einem globalen Konzern mit zum Beispiel EUR 18 Milliarden Umsatz kann das Bußgeld demnach bis zu EUR 700 Mio. betragen.

Die neue Risikolage wirkt sich auch auf die Verhaltenspflichten von Vorständen und Geschäftsführern und deren persönliche Situation aus. Denn Organisationsmängel im Datenschutz bedeuten auch Handlungspflichten und Haftungsrisiken für Vorstände und Geschäftsführer. Diese müssen gegebenenfalls für eine rechtzeitige Rückstellungsbildung Sorge tragen und Anleger nach den Vorgaben des Wertpapierhandelsrechts informieren. Bei Verstoß steigt auch hier ihr persönliches Haftungsrisiko.

Was ist nun zu tun?

Im Zweifel sollten Vorstände und Geschäftsführer nun dringend ihre Datenschutzorganisation mit einem Datenschutzstresstest (Privacy Impairment Check) auf den Prüfstand stellen.

Soweit bestimmte Bereiche noch nicht DSGVO-konform gestaltet sind (etwa Lösch- und Sperrkonzepte, Datenschutzfolgenabschätzungen) sollte hier schnellstmöglich nachgearbeitet werden.

Bestens für Sie aufgestellt

Unser Team von hoch spezialisierten Rechtsanwälten berät Sie umfassend im Bereich Datenschutz und Datensicherheit.
Mit unserem Datenschutzstresstest erhalten Sie innerhalb kurzer Zeit einen umfassenden Überblick zu den relevanten regulatorischen Anforderungen und dem Reifegrad Ihrer Datenschutzorganisation im Vergleich zu der relevanten Benchmark. Unser Datenschutzstresstest ist modular aufgebaut, sodass er auf die konkreten Anforderungen maßgeschneidert werden kann. Mit dem Ergebnisbericht unseres Datenschutzstresstests erhalten Sie Gewissheit, wie Sie die wesentlichen datenschutzrechtlichen Risiken für Ihr Unternehmen beherrschen.

Davon unabhängig unterstützen wir umfassend bei der Identifikation, Analyse und Bewertung bestehender rechtlicher Dokumentation und interner Prozesse zum Umgang mit personenbezogenen Daten sowie deren Optimierung, beraten gestaltend bei der datenschutzkonformen Einführung eines Informations- bzw. Datenmanagements sowie der Entwicklung und Markteinführung von Produkten, aber auch anlassbezogen bei internen oder externen Untersuchungsverfahren, z.B. nach einem data breach.
Außerdem vertreten wir Unternehmen in allen behördlichen
oder gerichtlichen Verfahren (Prozessvertretung).

Als Rechtsberater arbeiten wir in zahlreichen interdisziplinären Projekten mit den Technologie- und Prozessexperten von Deloitte zusammen und verfügen deshalb über die notwendige Erfahrung, um ganzheitliche Lösungen auch zu komplexen rechtlichen Fragestellungen zu liefern.

Haben wir Ihr Interesse geweckt? Sprechen Sie uns jederzeit gerne an! 

Key Facts
  • Das Land Berlin verhängt ein erstes Bußgeld über EUR 14,5 Mio. wegen Daten­schutz­verstößen. 
  • Die Höhe der Bußgelder wird steigen. Das neue Bußgeld­konzept der DSK orientiert sich vor allem an der Höhe des Unternehmens­umsatzes. 
  • Präventions­maßnahmen werden bußgeld­mindernd berücksichtigt.
  • Mit einem Datenschutz­stresstest können Daten­schutzrisiken wirksam identifiziert werden. 
  • Mit den rechtzeitig eingeleiteten angemessenen Präventions­maßnahmen können Bußgelder immer noch effektiv reduziert werden.

Fanden Sie diese Information hilfreich?