Rechtsanwalt Tim Wybitul berichtet von den Bemühungen der Datenschutzbehörden, einen Bußgeldkatalog für Datenschutzverstöße aufzustellen. Am 25. Juni 2019 hat sich die Datenschutzkonferenz auf ein Modell zur Bußgeldberechnung geeinigt (hier geht's zum Protokoll).
Hier seine wirklich profunde und umfassende Ausarbeitung zu diesem Thema.
Da Herr Wybitul eher an Problemen der Großen und Reichen arbeitet, wendet sich mein folgendes Beispiel an die Kleinen und Feinen. Stellen wir uns einen Getränkehandel vor, wie wir sie zuhauf finden können. In dieser Firma arbeiten zwölf Personen und die Benennung eines Datenschutzbeauftragten ist nach DSGVO und BDSG nicht erforderlich.
In einem ersten Schritt wird das Unternehmen einer Größenklasse zugeordnet. Unser Unternehmen soll 1,2 Mio. Euro Umsatz jährlich erzielen und gehört somit der Kategorie Kleinstunternehmen (hier A.II) an. Für alle 20 Größenklassen werden in einem zweiten Schritt die mittleren Jahresumsätze gebildet. Die liegen bei unserem Musterunternehmen bei 1,05 Mio. Euro. Anschließend (3. Schritt) wird der wirtschaftliche Grundwert (Tagessatz) gebildet. Das sind 1/360 des mittleren Jahresumsatzes. In unserem Fall sind das 2.917 Euro.
Dieser Grundwert wird nun im 4. Schritt mit einem Faktor gewichtet, der die Schwere der Tat zum Ausdruck bringen soll. Wir unterstellen hier einen Verstoß gemäß Art. 83 Abs. 5 DSGVO. Das umfasst Verstösse gegen die Grundsätze der Verarbeitung, gegen Betroffenenrechte oder gegen datenschutzkonforme Einwilligungen gemäß den Artikeln 5, 6, 7 und 9, aber auch Verstösse bei einer Übermittlung in ein Drittland (Artikel 44-49 DSGVO). Sie haben Google Analytics doch inzwischen entfernt oder Alternativen für die Rechtmäßigkeit der Verarbeitung gefunden, oder?
Ein mittelschwerer Verstoß wird mit den Faktoren 4 bis 8 gewichtet mit der Folge, dass die Geldbuße bei unserem Musterunternehmen zwischen 11.668 Euro und 23.336 Euro liegen kann. Es gibt aber auch noch einen 5. Schritt, der eventuell besondere Umstände berücksichtigt, soweit dies nicht schon im 4. Schritt geschehen ist. Gemeint sind hier u. a. folgende Punkte:
- Art, Schwere und Dauer der Verarbeitung
Bitte nicht: Das haben wir doch schon immer so gemacht! - Vorsätzlichkeit oder Fahrlässigkeit
Bitte nicht: Ich bin dafür nicht verantwortlich - den Personalleiter habe ich schon entlassen. - Eventuelle frühere Verstösse
Bitte nicht: Wir hatten noch keine Zeit, die Richtlinien für die Mitarbeiter zu überarbeiten. - Zusammenarbeit mit der Aufsichtbehörde
Auf gar keinen Fall: Ich habe für den Behördenkram jetzt gar keine Zeit, wir stehen kurz vor der Messe. - Kategorien der personenbezogenen Daten, die betroffen worden sind
Es gibt schon einen Unterschied zwischen Online-Shops, auf denen nach Unterhosen gesucht wird oder nach Behandlungsmöglichkeiten für ein krankes Kind!
Beispiele für Bußgelder in Deutschland:
- Ein Krankenhaus hatte am Empfang zwei Patienten verwechselt und entsprechend falsche Rechnungen ausgestellt. Das Bußgeld beträgt 105.000 Euro, weil das Krankenhausmanagement sofort reagiert und vorbehaltlos kooperiert hat.
- Eine Krankenkasse hatte unzureichende Technische und organisatorische Maßnahmen zur Sicherstellung der Informationssicherheit ergriffen. Das Bußgeld beträgt 1.240.000 Euro.
- Eine Immobilienfirma hatte Verarbeitungsgrundsätze nicht eingehalten. Das Bußgeld beträgt 14.500.000 Euro.
- Ein Auslieferbetrieb für Lebensmittel hatte die Betroffenenrechte unzulänglich wahrgenommen. Das Bußgeld beträgt 195.407 Euro.
- Ein Restaurant überwachte auch den Kundenbereich mit Videos. Das Bußgeld beträgt 2.000 Euro.
- Ein Städtischer Verkehrsbund wurde durch einen Kunden auf eine Sicherheitslücke aufmerksam gemacht. Es wurden weder die Datenschutzaufsicht noch die Betroffenen über diese Datenpanne informiert. Das Bußgeld beträgt 20.000 Euro.
- Ein Spieleportal wurde mangels Sicherheitsmaßnahmen gehackt, so dass rund 330.000 Kundendaten einschließlich Passwörter und E-Mail-Adressen enthüllt wurden. Das Bußgeld beträgt 20.000 Euro.