Nachdem es bereits viele Gerüchte gab, ist es jetzt amtlich: Bußgelder für Datenschutzverstöße werden zukünftig nach einem einheitlichen Verfahren verhängt. Dieses soll eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung garantieren.

Am 14. Oktober 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder das neue Modell veröffentlicht. Danach erfolgt die Bußgeldzumessung zukünftig in fünf Schritten:

  1. Zuordnung des betroffenen Unternehmen zu einer Größenklasse
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung des wirtschaftlichen Grundwertes
  4. Multiplizierung des Grundwerts mittels eines von der Schwere der Tatumstände abhängigen Faktors
  5. Anpassung des nach Schritt 4 ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände

Zukünftig können die Bußgelder somit präzise und vor allem nachvollziehbar berechnet werden. Zugleich werden sie jedoch – wie bereits in unserem vorherigen Artikel angesprochen – deutlich steigen. Denn selbst bei einem leichten Verstoß wird der Tagessatz mit einem Faktor zwischen 1 und 4 multipliziert. Bei einem Jahresumsatz von z.B. 9 Milliarden Euro wäre ein Bußgeld zwischen 25 Millionen und 100 Millionen Euro fällig. Dies hat zur Folge, dass bei einem Datenschutzverstoß eventuell Rückstellungen zu bilden oder Anleger nach den Vorgaben des Wertpapierhandelsrecht zu informieren sind.

Geschäftsführer und Vorstandsmitglieder müssen diese Bußgeldregelungen als Teil ihrer Sorgfaltspflichten beachten (vgl. § 43 Abs. 1 GmbHG, § 93 Abs. 1 S. 1 AktG). Vertretungsberechtigte Organe müssen berücksichtigen, dass im Falle eines Bußgeldes gegen das eigene Unternehmen, auch unter Umständen eine persönliche Haftung gegeben sein könnte. Sie sollten daher in jedem Fall dafür sorgen, dass auch die datenschutzrechtlichen Vorschriften eingehalten werden.

Mit dem neuen Bußgeldmodell schließen die deutschen Aufsichtsbehörden zu den Bußgeldhöhen in den europäischen Nachbarländern auf. In Spanien waren z.B. 250.000 Euro für Verstöße der Fußballliga fällig, Google zahlte in Frankreich 50 Millionen Euro und in Großbritannien zahlte British Airways 204 Millionen Euro.