Gemäß des Artikels 83 der Datenschutzgrundverordnung (DSGVO) können Geldbußen durch die Datenschutz-Aufsichtsbehörden unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes verhängt werden. Dabei sollen die Aufsichtsbehörden nach Vorgabe des europäischen Gesetzgebers sicherstellen, dass die verhängten Geldbußen verhältnismäßig und abschreckend sind.

Rechtlicher Rahmen

Für Verstöße gegen einige Normen der DSGVO können bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes (des vorangegangenen Geschäftsjahrs), für schwerwiegendere Verstöße gegen Artikel der DSGVO und Paragraphen des Bundesdatenschutzgesetzes (BDSG) gar bis zu 20 000 000 EUR oder bis zu 4 % seines gesamten weltweiten Jahresumsatzes, verhängt werden. Bei der prozentualen Bemessung der Geldbuße am Jahresumsatz, richtet sich die Definition des „Unternehmens“ nach Art. 101 und 102 Vertrag über die Arbeitsweise der Europäischen Union (AEUV), Unternehmen meint demnach einen Konzern. So lassen die Datenschutz-Aufsichtsbehörden auch komplette Konzernumsätze in die Berechnung einfließen.

Der gesetzliche Höchstrahmen der Datenschutzgrundverordnung gliedert sich groß in zwei Kategorien:

Geldbuße maximalOder prozentualBei Verstoß gegen
Art. 83 Abs. 4bis zu 10 000 000 EUR oderbis zu 2 % seines gesamten weltweit erzielten JahresumsatzesArt. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
Art. 83 Abs. 4bis zu 10 000 000 EUR oderbis zu 2 % seines gesamten weltweit erzielten JahresumsatzesArt. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
Art. 83 Abs. 4bis zu 10 000 000 EUR oderbis zu 2 % seines gesamten weltweit erzielten JahresumsatzesArt. 25 bis 39
Art. 83 Abs. 4bis zu 10 000 000 EUR oderbis zu 2 % seines gesamten weltweit erzielten JahresumsatzesArt. 42 Zertifizierung
Art. 83 Abs. 4bis zu 10 000 000 EUR oderbis zu 2 % seines gesamten weltweit erzielten JahresumsatzesArt. 43 Zertifizierungsstellen
Art. 83 Abs. 5bis zu 20 000 000 EUR oderbis zu 4 % seines gesamten weltweit erzielten JahresumsatzesArt. 5 Grundsätze für die Verarbeitung personenbezogener Daten
Art. 83 Abs. 5bis zu 20 000 000 EUR oderbis zu 4 % seines gesamten weltweit erzielten JahresumsatzesArt. 6 Rechtmäßigkeit der Verarbeitung
Art. 83 Abs. 5bis zu 20 000 000 EUR oderbis zu 4 % seines gesamten weltweit erzielten JahresumsatzesArt. 7 Bedingungen für die Einwilligung
Art. 83 Abs. 5bis zu 20 000 000 EUR oderbis zu 4 % seines gesamten weltweit erzielten JahresumsatzesArt. 9 Verarbeitung besonderer Kategorien personenbezogener Daten
Art. 83 Abs. 5bis zu 20 000 000 EUR oderbis zu 4 % seines gesamten weltweit erzielten JahresumsatzesArtt. 12 bis 22 Rechte der betroffenen Person
Art. 83 Abs. 5bis zu 20 000 000 EUR oderbis zu 4 % seines gesamten weltweit erzielten JahresumsatzesArtt. 44 bis 49 Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland
Art. 83 Abs. 5bis zu 20 000 000 EUR oderbis zu 4 % seines gesamten weltweit erzielten JahresumsatzesKapitel IX alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten (Verstöße gegen das BDSG)
Art. 83 Abs. 5bis zu 20 000 000 EUR oderbis zu 4 % seines gesamten weltweit erzielten JahresumsatzesArtikel 58 Absatz 1 Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1
Art. 83 Abs. 5bis zu 20 000 000 EUR oderbis zu 4 % seines gesamten weltweit erzielten JahresumsatzesArtikel 58 Absatz 2 Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde

Spielraum der Aufsichtsbehörden

Die tatsächliche Höhe der Bußgelder richtet sich gem. Art. 83 Abs. 2 nach verschiedenen Gesichtspunkten. So spielt die Art, Schwere und Dauer des Verstoßes eine Rolle zur Bemessung der Höhe, aber auch die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes oder z. B. der Umfang der Zusammenarbeit mit den Aufsichtsbehörden.
Bei der Entscheidung der Höhe der verhängten Geldbußen ist jede Aufsichtsbehörde in ihrer Entscheidung frei und da in der Bundesrepublik Deutschland 17 Datenschutz-Aufsichtsbehörden für juristische Personen bestehen, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Bußgeldkonzept zur Harmonisierung der Bußgeldhöhe beschlossen, bis der Europäische Datenschutzausschuss (EDSA) ein eigenes europäisches Konzept veröffentlicht hat.   

Dabei werden fünf Schritte bei der Bemessung angelegt:

Bestimmung der Größenklasse des Unternehmens → Unternehmensgröße nach mittlerem Jahresumsatz → Ermittlung des wirtschaftlichen Grundwerts × Faktor der Schwere der Tatumstände → Anpassung des Wert anhand täterbezogene und sonstige Umstände.
Die Bestimmung der Größenklasse des Unternehmens erfolgt zunächst auf Grundlage des weltweit erzielten Vorjahresumsatz in den zwei Hauptgruppen „Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU)“ und „Großunternehmen“, die Hauptgruppe KMU ist wiederrum in die Untergruppen „Kleinstunternehmen“, „Kleine Unternehmen“ und „Mittlere Unternehmen“ kategorisiert.
Danach erfolgt die Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe durch den mittleren Jahresumsatz in diversen Untergruppen.
Für die Ermittlung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet. 
Weiter folgt anhand der konkreten tatbezogenen Umstände anhand des Schweregrads des Einzelfalls eine Einordnung des Schweregrads in die Gruppen „Leicht“, „Mittel“, „Schwer“ oder „Sehr schwer“. Schließlich wird der Grundwert auf Grundlage der Umstände angepasst, soweit diese noch nicht berechnet wurden. Diese Umstände können zum Beispiel eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens sein.

Beispiele

Vorab möchten wir darauf hinweisen, dass die hier von uns auf Grundlage des DSK-Bußgeldkonzeptes berechneten Beispiele keinerlei Anspruch auf Richtigkeit oder tatsächlicher verhängter Höhe eines Bußgeldes einer Datenschutz-Aufsichtsbehörde haben und sind als Richtfaden zu sehen.

BeispieleRechtl. HöchstrahmenKleines Unternehmen mit 6,25 Mio. € Umsatz, leichter Schweregrad (1) und keiner Anpassung des GrundwertesGroßunternehmen mit 150 Mio. € Umsatz, sehr schwerem Schweregrad (6) und keiner Anpassung des Grundwertes
Unterlassen der Ernennung eines DSB (Art. 83 Abs. 4 DSGVO)bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes17.361 €2.500.002 €
BeispieleRechtl. HöchstrahmenKleinstunternehmen mit 1,7 Mio. € Umsatz, leichter Schweregrad (1) und keiner Anpassung des GrundwertesMittleres Unternehmen mit 17,5 Mio. € Umsatz, mittlerer Schwere (4) und keiner Anpassung des Grundwertes
Fehlen von Vereinbarungen zur Auftragsverarbeitungbis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes4.722 €194.444 €
BeispieleRechtl. HöchstrahmenKleinstunternehmen mit 350 T€ Umsatz, leichter Schweregrad (1) und keiner Anpassung des GrundwertesKleines Unternehmen mit 6,25 Mio. € Umsatz, leichter Schweregrad (1) und keiner Anpassung des Grundwertes
Keine Dokumentation des VVTbis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes972 €17.361 €