Einheitlicher DSGVO-Bußgeldkatalog
Die Datenschutz-Aufsichtsbehörden des Bundes und der Länder in Deutschland haben sich im Grundsatz auf einen gemeinsamen Ansatz zur Bußgeldzumessung im Rahmen der DSGVO geeinigt. Zweck ist, den „Bußgeldkatalog“ der DSGVO zumindest in Deutschland zu vereinheitlichen. Wenn in der gesamten EU zu einem späteren Zeitpunkt eine weitere Vereinheitlichung erfolgen sollte, ersetzt das EU-Modell dann das nun vorgelegte Modell. Ob die gesamte EU allerdings einen einheitlichen Bußgeldkatalog bekommt, ist bislang noch unklar. Auszug aus den Anwendungshinweisen zur Bußgeldbemessung: „Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).“ Wir hatten in der Kanzlei schon für einige Mandanten Konversation mit den Datenschutzbehörden. Wir freuen uns, dass wir bisher alle, unseren Mandanten drohenden Bußgelder erfolgreich abwehren konnten. Bisher verhängten die deutschen Datenschutzaufsichtsbehörden ungefähr 100 Bußgelder (keine Angabe von 2 Bundeländern), wobei das höchste verhängte Bußgeld 200.000 € betrug. Dies wurde gegen ein Berliner Unternehmen wegen nicht gelöschter Kundendatensätze und unzulässigen Werbemails verhängt. Das deutsche Unternehmen Knuddels.de musste das erste seit der DSGVO-Einführung verhängte Bußgeld in Höhe von 20.000 Euro wegen einer Datenpanne zahlen. Das Flirt-Netzwerk konnte wohl davon profitieren, dass es seinen Meldepflichten vorbildlich nachgekommen ist. Das Bußgeld von 80.000 Euro wurde in Deutschland wegen geleakter Gesundheitsdaten aufgrund unzureichender interner Kontrollmechanismen fällig. Wegen eines fehlenden Vertrags zur Auftragsverarbeitung musste das Versandunternehmen Kolibri Image 5.000 Euro zahlen. Die Datenschutzbehörde teilte mit, dass das Unternehmen den Dienstleister erst nach Vertragsschluss hätte beauftragen dürfen und verhängte das Bußgeld. Europaweit waren die Bußgelder sehr viel höher: So verhängte die französische Datenschutzbehörde gegen Google ein Bußgeld von 50 Millionen Euro. In Portugal wurde gegen ein Krankenhaus ein Bußgeld von 400.000 € fällig, da zu viele Personen Zugriff auf Patientendaten hatten. In England verhängte die Datenschutzbehörde ein Bußgeld in Höhe von 204 Millionen Euro gegen eine Fluggesellschaft wegen mangelnder Sicherheitsvorkehrungen und gegen eine Hotelkette ein Bußgeld in Höhe von 110 Millionen Euro, da diese massenhaft Kundendaten im Internet offenlegte. In Dänemark wurde ein Bußgeld in Höhe von 200.000 € verhängt, weil ein Möbelhersteller Kundendaten über die Speicherdauer hinaus speicherte und gegen ein Taxiunternehmen ein Bußgeld in Höhe von 161.000 €, welches Daten von acht Millionen Fahrten speicherte und somit gegen das Minimierungsgebot verstieß. In Polen wurde ein Bußgeld in Höhe von 221.000 € gegen ein Unternehmen verhängt, welches der Erfüllung der Auskunftspflicht nach Art. 14 DS-GVO nur unzulänglich nachkam. Der Bundesdatenschutzbeauftragte Ulrich Kelber äußerte zu den zukünftigen Bußgeldern, dass die Zurückhaltung der Datenschutzbehörden natürlich auch immer weniger werde und es auch bald in Deutschland Bußgelder in Millionenhöhe geben werde. Fazit: Wir empfehlen: Holen Sie sich professionelle Unterstützung im Datenschutz in Ihr Unternehmen.