Comp4U Ladeanimation

Was kostet ein Datenschutzverstoß?

Endlich mehr Klarheit zu Bußgeldern nach der DSGVO

Bislang war völlig unklar, wie ein Bußgeld bei Verstößen gegen die DSGVO bemessen werden wird. Nach Ansicht der Datenschutzkonferenz der Länder DSK ist das nun vorbei und es könnte bald teuer werden. In einem sehr transparenten und übersichtlichen Rechenmodell kann nun einfach überschlagen werden, mit welchen Bußgeldern ein Unternehmen, das gegen die Bestimmungen der Datenschutzgrundverordnung verstößt, rechnen kann:

 Berechnungsbasis ist jeweils ein sogenannter „Tagessatz“, der sich aus den Jahresumsatz des Unternehmens berechnet. Je nach Schweregrad des Verstoßes werden dann Faktoren verwendet und mit dem Tagessatz multipliziert. Außerdem werden weitere prozentuale Aufschläge, je nach Verschuldensgrad, Anzahl der betroffenen Personen und Ausmaß des Schadens, hinzu addiert. 

 Die Aufsichtsbehörden berücksichtigen außerdem, ob ein Unternehmen erstmalig auffällig wird oder vielleicht ein ähnlicher Verstoß in der Vergangenheit schon einmal begangen wurde. Strafmindernd könnte sich die Bereitschaft zur Kooperation oder die bereits getroffenen Maßnahmen zur Minderung des Schades auswirken. So wird auch weiterhin eine nicht unerhebliche Rolle spielen, ob das Unternehmen den Verstoß selber festgestellt und gemeldet hat. Wenn die Aufsichtsbehörden erst durch eine Anzeige, z.B. einer betroffenen Person oder eines Whistleblowers, auf den Verstoß aufmerksam gemacht werden ohne dass eine Meldung des Unternehmens vorliegt, wird mindestens unterstellt, dass der Verstoss aufgrund fehlender Sorgfalt oder gar mangelnder technischer Sicherungsmaßnahmen noch nicht bemerkt wurde. 

Konkrete Beispiele zeigen bereits, wie die Aufsichtsbehörden mit dem Rechenmodell umgehen wird:

  • Der Tagessatz errechnet sich als 1/365 des Jahresumsatzes des Unternehmens. Für einen leichten Verstoß wird ein Faktor zwischen 1 und 4 angesetzt, schwere Verstöße werden mit bis zu Faktor 14 multipilziert. Hinzu kommt ein prozentualer Aufschlag für den Grad des Verschuldens von -25% bei geringer oder unbewußter Fahrlässigkeit bis +50% bei Vorsatz. Für Ersttäter kommt kein weiterer Aufschlag hinzu, Wiederholungsfälle werden mit 50%, 150% und 300% gewürdigt.

  • Ein Unternehmen mit 5 Mio. Euro Umsatz sieht somit  z.B. bereits für einen leichten erstmaligen Verstoß mit geringer Fahrlässigkeit einem Bußgeld von über 30.000 Euro entgegen.

  • Die Aufsichtsbehörden können die Bußgelder außerdem fallbezogen anpassen – sowohl nach unten wie auch nach oben. Vor allem wenn das Bußgeld in den Augen der Behörden wirkungslos (weil zu niedrig) ist, kann und muss der DSGVO Sorge getragen werden, in der es in Art. 83 ausdrücklich heißt, dass Bußgelder „wirksam, verhältnismäßig und abschreckend“ sein sollen. 

Es bleibt abzuwarten, wie die Praxis gelebt wird. Erste Bußgelder nach dieser Berechnung wurden bereits von deutschen Aufsichtsbehörden verhängt, angeblich soll in Kürze sogar das erste Bußgeld im Millionen-Euro-Bereich folgen. 


Lassen Sie sich von uns in Sachen Datenschutz beraten. Unsere Experten analysieren Ihre vorhandene Datenschutzdokumentation und prüfen, ob alle notwendigen Dokumente nachweisbar sind. Wenn Sie noch Nachholbedarf haben, bietet Ihnen unser Datenschutzkonzept „DSGVO-Spezial“ eine schnelle Einführung eines wirksamen Datenschutz-Managementsystems. Angefangen vom grundlegenden Datenschutz-Audit über die korrekte Erstellung Ihres Verzeichnisses der Verarbeitungstätigkeiten, Dokumentation Ihrer technischen und organisatorischen Maßnahmen (TOM) bis zur Einführung wirksamer Prozesse zur Erfüllung Ihrer Informationspflicht gegenüber Betroffenen.

Wir sind Praktiker im Datenschutz, stellen Datenschutzbeauftragte, auditieren Ihre Managementsysteme und begleiten Sie auf dem Weg hin zum alltagstauglichen Datenschutz. Unsere zertifizierten Datenschutz-Auditoren und Datenschutz-Beauftragten freuen sich auf Sie:

Rufen Sie uns gleich an und vereinbaren Ihren Beratungstermin - 06103-9707-77