Ein Bußgeld für Datenschutzverstöße kann bis zu 20 Mio. Euro betragen. Sinn und Zweck ergeben sich aus Art. 83 DSGVO:
'Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß
diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.'
Bei solchen Summen stellen sich meist zwei Fragen:
1. Was muss man 'verbrochen' haben?
2. Wie werden solch hohen Bußgelder berechnet?
Damit hat man sich bei der Datenschutz-Konferenz (DSK) befasst.
Aufgaben und Ziele der DSK
Die DSK besteht aus den Datenschutzbehörden des Bundes und der Länder und sind auch für die Bußgeldverhängung zuständig. Ziel des Konzepts ist es den Datenschutzaufsichtsbehörden eine Methode zur schlüssigen, transparenten und nachvollziehbaren Bußgeldbemessung zur Verfügung zu stellen.
Sind Vereine auch betroffen?
Es wird gleich zu Beginn von der DSK darauf hingewiesen, dass genanntes Konzept 'insbesondere keine Anwendung auf Geldbußen gegen Vereine außerhalb ihrer wirtschaftlichen Tätigkeit findet.
Damit wirft sich sofort die Frage auf, ob der ideelle Bereich dadurch unberührt bleibt. Die Antwort?
Es kommt darauf an.
Beispielsweise kann ein Vorstandsmitglied Daten von Mitgliedern (bspw. Gesundheitsdaten) auf einem mobilen Gerät haben, welches auch im privaten Bereich genutzt wird. Nehme man an, dass dieses Gerät nicht passwortgeschützt ist und dann noch abhanden kommt, so ist dies ein Fall, in dem auch Tätigkeit im idellen Bereich unter die Bußgeldvoraussetzungen fällt.
Zwar stellte die Nutzung im Privatbereich keine wirtschaftliche Tätigkeit dar, doch wurde mangels technischer Maßnahmen und fahrlässigen Umgang Dritten der Zugang zu persönlichen Daten ermöglicht.
Umso mehr leuchtet ein, dass vor allem in seiner wirtschaftlichen Tätigkeit dem Verein ein Bußgeld verhängt werden kann.
Wie wird die Höhe des Bußgeldes berechnet?
Der konkrete Betrag wird in vier Schritten ermittelt.
1. Im Hinblick auf den den Umsatz wird der Verein einer von vier Größenklassen zugeordnet. Diese sind Gruppe A - Umsatz bis 2 Mio. €, Gruppe B - Umsatz bis zu 10 Mio. €, Gruppe C - Umsatz
bis zu 50 Mio. € und Gruppe D - Umsatz ab 50 Mio. €. Innerhalb dieser Klassen wird ggf. nochmals einzefallbezogen differenziert.
2. Dann wird innerhalb des Umsatzspektrums einer zugeordneten Gruppe der mittlere Jahresumsatz ermittelt.
3. Anschließend wird der Tagessatz ermittelt, indem der mittlere Jahresumsatz durch 360 Tage geteilt.
4. Zum Schluss wird der Tagessatz abhängig von der Schwere des Verstoßes multipliziert. Umstände des Einzelfalls sollen hierbei berücksichtigt werden. Die DSK unterscheidet innerhalb der Verstöße nach leicht, mittel, schwer oder sehr schwer. Im Einklang mit der DSGVO sieht das Konzept auch Unterscheidungen zwischen materiellen und formellen Verstößen.
Ein formeller Verstoß wäre beispielsweise eine fehlende Vereinbarung mit einem Verarbeitungsverantwortlichen.
Nach all diesen 4 Schritten wird nochmals der Grundwert angepasst anhand aller sonstigen, bislang nicht berücksichtigten Umstände, welche für oder gegen eine Milderung/Schärfung sprechen würden. Ein ungeschriebenes Merkmal ist die Berücksichtigung der Gemeinnützigkeit und des besonderen Zwecks eines Vereins.
Fazit
Das vorgestellte Bußgeldkonzept mag nicht allzu Sympathie erweckend sein, eins ist jedoch positiv. Betroffene Vereine und Unternehmen haben nunmehr eine Planungssicherheit anstatt Bußgeldbeträge, deren Zustandekommen man in keinster Weise nachvollziehen kann.
Kommentar schreiben