Da die neue Formel durchaus komplex ist, wird die Berechnung aus praktischen Gründen im Folgenden vereinfacht dargestellt. Der Umsatz spielt bei der Berechnung des Bußgeldes eine zentrale Rolle. Wie wird zukünftig ein Bußgeld festgelegt? Die Behörden ermitteln einen „Tagessatz“ indem sie den globalen Vorjahresumsatz durch 360 teilen. Dieser Wert wird mit einem Faktor multipliziert. Die Höhe des Faktors richtet sich nach der Schwere des Verstoßes gegen die Datenschutzregeln und kann zwischen 1 und 12 und in besonders schweren Fällen sogar noch darüber liegen. Maßgeblich für den zu ermittelnden Wert ist die Anzahl der betroffenen Personen, die Dauer des Verstoßes, Art, Umfang und Zweck der betreffenden rechtswidrigen Verarbeitung und die Reichweite des dadurch entstandenen Schadens.
Maximal darf die Geldbuße eine Höhe von 4 Prozent des Unternehmensumsatzes haben. Das neue Bußgeldmodell gibt einen Korridor vor. Übrigens: Liegen verschiedene Verstöße gegen die Regelungen der DSGVO vor, so werden die dafür fälligen Bußgeldbeträge addiert. Es soll, so die Datenschutzbehörden, keine ermäßigte Gesamtstrafe geben. Zur Höhe der Geldbußen lässt sich eins sagen: Die Höhe der Bußgelder wird auch in Deutschland zukünftig deutlich höher als bisher ausfallen. Aktuell kündigte die Berliner Datenschutzbehörde an, ein Bußgeld in Höhe eines zweistelligen Millionenbetrages verhängen zu wollen.
Vorteil des neuen Berechnungsmodells: die Höhe der Bußgelder ist vorhersehbarer. Dies hat Auswirkungen auf das Risikomanagement von Unternehmen. Bei festgestellten Datenschutz-Schwachstellen lassen sich die resultierenden Bußgeldrisiken und damit die Schwere des Risikos nun genauer bestimmen.
Problem: Die Faktoren, die zur öffentlichen Bekanntmachung von Schwachstellen führen, sind vielfältig (z.B. Beschwerden enttäuschter Kunden, Überprüfungen der Aufsichtsbehörde) und stetigen Veränderungen unterworfen. Daher fällt die Risikoabschätzung schwer.
Auch ist durch das Zugrundelegen des Umsatzes als Bemessungsgrenze eine Benachteiligung bestimmter Branchen wie beispielsweise des Handels zu erkennen, bei dem die Umsatzrendite traditionell geringer als z. B. bei produzierenden Unternehmen ist.
„Der Aufbau und die Sicherstellung einer gut funktionierenden Datenschutzorganisation und des Datenschutzmanagementsystems sind zur Verringerung des Bußgeldrisikos unerlässlich“, rät UIMC-Geschäftsführer Dr. Jörn Voßbein zum Handeln. Mit dem neuen Rechenmodell könnten zweistellige Millionenbeträge auch bald in Deutschland verhängt werden. Das neue Bußgeldmodell ist bereits jetzt durch die nationalen Datenschutzbehörden verbindlich anzuwenden. Europaweit wird noch an einem einheitlichen Bußgeldkatalog gearbeitet. Die deutschen Behörden engagieren sich sehr dafür, die nationalen Maßstäbe europaweit zur Anwendung zu bringen. Hier muss die weitere Entwicklung abgewartet werden.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de