Seit dem 25. Mai 2018 wird neben dem Bundesdatenschutzgesetz (BDSG neu) auch die EU-Datenschutz-Grundverordnung (DS-GVO) angewendet. Drei Jahre später zeigt sich: Das Bewusstsein für Datenschutz hat spürbar zugenommen, die Unsicherheit der Unternehmen bei der Umsetzung in belastbare Maßnahmen hat abgenommen. Auch herrscht bei der Höhe finanzieller Strafen bei einem Verstoß gegen den Datenschutz mehr Klarheit, seit die Datenschutzkonferenz im Oktober 2019 ihr Konzept zur Zumessung von Geldstrafen bei Datenschutzverletzungen vorgelegt hat. Alles Wichtige und Wissenswerte lesen Sie in diesem Blogbeitrag.
INHALT
- DSGVO: Erfolg für den Datenschutz oder Hürde für künstliche Intelligenz?
- Kleine Unternehmen haben es schwerer
- Risiko von Strafen bleibt bestehe
- Strafen bei Datenschutzverletzungen
- DSGVO-Strafen: Das Bußgeld-Konzept im Überblick
- Wie verbindlich ist das Bußgeld-Konzept?
- DSGVO-Strafen auf einen Blick
- Fazit: DSGVO-Strafen bei Datenschutzverletzungen
- Bei der DQS in guten Händen
DSGVO: Erfolg für den Datenschutz oder Hürde für künstliche Intelligenz?
Die Meinungen, ob die Datenschutz-Grundverordnung (DSGVO) ein Erfolg für den Schutz persönlicher Daten ist oder eher eine Hürde für Künstliche Intelligenz (KI) und Digitalisierung, gehen noch immer auseinander. Diese Diskrepanz liegt in der Natur der Sache: Aus der Sicht derjenigen, für die die DSGVO erarbeitet wurde, ist die Umsetzung der Richtlinie zweifelsohne ein Erfolg. Privatpersonen können sich freuen, dass der Umgang mit ihren personenbezogenen Daten und deren Verarbeitung nun deutlich strengeren rechtlichen Vorgaben unterliegt als je zuvor. Und: Dass sie die Kontrolle über ihre eigenen Daten wenigstens in Teilen wieder zurückerlangt haben.
Auf der anderen Seite stehen aber jene, die in ihrem Berufsalltag mit personenbezogenen Daten umgehen. Für diese Unternehmen ist mit der neuen Verordnung ein spürbarer Mehraufwand bei der Datenverarbeitung entstanden, der zur Einhaltung unumgänglich ist – allem voran das Verarbeitungsverzeichnis nach Artikel 30 DSGVO. Das Verzeichnis muss unter anderem Auskunft über die Herkunft und Verwendung personenbezogener Daten geben – aber auch darüber, wie ein Löschkonzept für persönliche Daten aussieht. Auch die Ernennung eines (externen) Datenschutzbeauftragten und initial zum Beispiel die Durchführung von Datenschutzaudits sind zusätzliche Belastungen für betroffene Organisationen.
Kleine Unternehmen haben es schwerer
Hier kommt ein Stück weit auch die Gleichbehandlung von kleinen und mittleren Unternehmen (KMU) sowie Großkonzernen ins Spiel, denn sie schafft im Ergebnis eher Ungleichheit. Allein deshalb, weil es kleinen Organisationen schwerer fällt, personenbezogene Daten lückenlos DSGVO-konform zu verarbeiten. Aber auch hier gibt es Best-Practice-Beispiele.
ISO 27001 trifft Datenschutz
Kostenfreies Whitepaper
Erfahren Sie mehr über
- den Zusammenhang zwischen der DS-GVO und der Norm
- die 7 Schritte zum Datenschutz-Managementsystem
Großunternehmen hingegen verfügen meist über entsprechende Fachkräfte und (externe) Datenschutzbeauftragte, die die Einhaltung der Datenschutz-Verordnung weitgehend sicherstellen können. Oft verfügen Konzerne auch über leistungsfähigere IT-Systeme, mit denen die Datenschutzgesetze leichter umzusetzen sind. Im Mittelstand herrscht demgegenüber eine gewisse Unklarheit, in welchen Fällen und auf welche Weise die DS-GVO korrekt umzusetzen ist, ohne das Strafen drohen.
Risiko von Strafen bleibt bestehen
Auch hat das Risiko, bei „versehentlichen“ DSGVO-Verstößen von den Aufsichtsbehörden mit einer empfindlichen Strafe belegt zu werden, zwangsläufig zugenommen. Dies belastet Kleinstunternehmen bei Strafzahlungen – trotz Bezug auf den Jahresumsatz – finanziell womöglich stärker als Großunternehmen. Denn es ist davon auszugehen, dass ihre finanziellen Rücklagen geringer sind.
Mit dieser Diskrepanz zwischen großen und kleinen Unternehmen wurde aus der erwarteten Rechtssicherheit anfangs eine große Rechtsunsicherheit für kleine Unternehmen. So forderten vor allem Kleinstbetriebe teils unnütze Einverständniserklärungen von ihren Kunden ein. Selbst dann, wenn sie laut der EU Datenschutz-Grundverordnung gar nicht zum Kreis der Betroffenen zählten. Dies geschah meist in vorauseilendem Gehorsam, um DSGVO-Verstöße und Geldbußen zu vermeiden. Diese Praxis gehört inzwischen aber weitgehend der Vergangenheit an.
DSGVO: Strafen bei Datenschutzverletzung
Was die Höhe der Strafen bei Missachtung des Datenschutzes und Verstößen gegen die DSGVO angeht, so herrscht seit Oktober 2019 Klarheit. Damals hat die Datenschutzkonferenz (DSK) ihr Konzept zur Bemessung einer angemessenen Strafe bei Datenschutzverstößen vorgelegt. Das Konzept der unabhängigen Datenschutzbehörden des Bundes und der Länder regelt seither die Bemessung der DSGVO-Bußgelder in Verfahren gegen Unternehmen. Somit haben sich die Aufsichtsbehörden auf eine einheitliche Vorgehensweise geeinigt, um Geldbußen systematisch, transparent und nachvollziehbar zu bemessen und zu verhängen.
Im Sinne des Art. 24 DS-GVO ist das Konzept der DSK nach wie vor eine Pflichtlektüre mit wichtigen Antworten für jeden Verantwortlichen.
„Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“
PDF zum Download auf der Internetseite der DSK
Die Datenschutzkonferenz betont zugleich, dass der Bußgeldkatalog für Sanktionen für Verstöße gegen die DS-GVO auf Fortentwicklung angelegt sei. Hintergrund sind die noch laufenden europaweiten Abstimmungen mit dem Ziel einer Leitlinie des Europäischen Datenschutzausschusses (EDSA). In der Konsequenz gilt das vorliegende Bußgeld-Konzept deshalb auch nicht zur Bußgeldbemessung bei grenzüberschreitenden Fällen oder etwa zur bindenden Orientierung anderer europäischer Behörden für Datenschutz.
„Ziel des Konzeptes ist es, den Aufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“
Pressemitteilung der DSK vom 16.10.2019
Hinweis: über die Datenschutzkonferenz
Die Datenschutzkonferenz (DSK) besteht aus den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen. Quelle: www.datenschutzkonferenz-online.de
DSGVO-Strafen: das Bußgeld-Konzept im Überblick
Die Maximalstrafe für DSGVO-Verstöße liegt bei 20 Millionen Euro oder 4 % des Jahresumsatzes – je nachdem, welcher Betrag höher ist. Die Basis bei der Bemessung der DSGVO-Bußgelder ist also der jährliche Umsatz eines Unternehmens. Dafür werden die Organisationen in einem ersten Schritt in vier Größenklassen unterteilt.
1. Kategorisierung der Unternehmen nach Größenklasse
Vier Kategorien bemessen am Jahresumsatz eines Unternehmens:
- A: Kleinstunternehmen mit einem Jahresumsatz bis 2 Mio. Euro
- B: Kleine Unternehmen mit einem Jahresumsatz über 2 bis 10 Mio. Euro
- C: Mittlere Unternehmen mit einem Jahresumsatz über 10 bis 50 Mio. Euro
- D: Großunternehmen mit einem Jahresumsatz über 50 Mio. Euro
Alle vier Größenklassen erfahren jedoch eine weitere Unterteilung nach Umsatzstufen innerhalb der Hauptkategorie, um Organisationen für die Bemessung einer DSGVO Strafe bei einer Verletzung noch detaillierter einordnen zu können. Beispiele:
- Ein kleines Unternehmen der Kategorie B mit einem erzielten Jahresumsatz zwischen 5 und 7,5 Mio. Euro fällt dann unter die Kategorie B.II
- und ein Großunternehmen mit einem weltweit erzielten Jahresumsatz zwischen 200 bis 300 Mio. Euro fällt unter D.IV
2. Bestimmung des mittleren Jahresumsatzes
Im zweiten Schritt erfolgt dann die Bestimmung des mittleren Jahresumsatzes der jeweiligen Unterkategorie. Der mittlere Jahresumsatz ist die Grundlage für die Ermittlung des wirtschaftlichen Grundwertes. Beispiele:
- Für das Unternehmen der Größenklasse B.II ist der mittlere Jahresumsatz auf 6,25 Mio. Euro festgelegt,
- Für das Großunternehmen der Kategorie D.IV ist der mittlere Jahresumsatz auf 250 Mio. Euro festgelegt.
3. Ermittlung des Grundwertes
Mit der Formel für die Festsetzung des wirtschaftlichen Grundwertes wird nun der mittlere Jahresumsatz durch 360 Tage geteilt. Im Ergebnis entsteht ein durchschnittlicher Tagessatz. Beispiele:
- Der durchschnittliche Tagessatz für das Unternehmen der Größenklasse B.II beläuft sich auf rund 17.361 Euro.
- Der durchschnittliche Tagessatz für das Großunternehmen (D.IV) beläuft sich auf 694.444 Euro.
Datenschutzmanagement mit ISO 27701
Datenschutz im Rahmen der Informationssicherheit – spannendes Thema? Mehr Expertenwissen zur Norm ISO 27701 in unserem kostenfreien Whitepaper.
4. Multiplikation des Grundwertes nach Schweregrad der Tat
Hier zeigt das Bußgeld-Konzept anhand einer weiteren Tabelle auf, mit welchem Faktor der durchschnittliche Tagessatz multipliziert wird. Orientierungspunkte für die Festlegung des Faktors bei DSGVO-Strafen ist der Schweregrad – leicht, mittel, schwer oder sehr schwer – und die Einordnung in formelle bzw. materielle DSGVO-Verstöße. Beispiele:
- Bei einem schweren materiellen Verstoß eines Unternehmens der Größenklasse B.II kann der Faktor 8 bis 12 durchschnittliche Tagessätze zur Anwendung kommen.
- Bei einem leichten formellen Verstoß eines Großunternehmens der Kategorie D.IV kann der Faktor 1 bis 2 durchschnittliche Tagessätze zum Tragen kommen.
5. Anpassung des Grundwertes
Die Anpassung des Grundwertes erfolgt anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände. In diesem Schritt werden noch einmal alle tatbezogenen Umstände erwogen und können – zum Beispiel bei drohender Zahlungsunfähigkeit eines Unternehmens – Einfluss auf den Grundwert nehmen.
Wie verbindlich ist das Bußgeld-Konzept?
Nach wie vor durchaus verbindlich, denn das Konzept der DSK „betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung“. Damit gilt das Konzept bei Verstößen gegen den Schutz personenbezogener Daten und sensibler Daten als aktuelle Leitlinie für die deutschen Aufsichts- bzw. Datenschutzbehörden und Datenschutzbeauftragten der Länder.
Wer das Strafgeldkonzept aufmerksam studiert, stellt fest, dass die Autoren mit einiger Sorgfalt versucht haben, möglichst „gerechte“ Kategorien und Eingruppierungen zu schaffen. Zugleich geht der Schritt 5 aber auch wieder in Richtung einer Relativierung. Vor allem aber stellt die Datenschutzkonferenz unmissverständlich klar, dass Gerichte bei der Festlegung des Maßes für eine Datenschutzverstoß-Strafe nicht zwingend an das Konzept gebunden seien.
„Die (…) Datenschutzaufsichtsbehörden (…) können jederzeit eine Aufhebung, Änderung oder Erweiterung ihres Konzepts (…) beschließen. Das Konzept verliert zudem seine Gültigkeit, sobald der EDSA seine abschließenden Leitlinien zur (…) Festsetzung von Geldbußen erlassen hat.“
Aus der Einleitung zum Bußgeld-Konzept der Datenschutzkonferenz.
Das Bußgeld-Konzept greift auch dann nicht, wenn es um Anzeigen zu grenzüberschreitenden Fällen geht. Insgesamt räumt die DSK selbst ein, dass die Leitlinien nicht erschöpfend seien und die Konkretisierung der Festsetzungsmethodik den nach wie vor nicht erstellten Leitlinien des EDSA vorbehalten bleibe.
Bei der Ermittlung einer angemessenen Strafe bei Verstößen gegen die DS-GVO sind also viele Faktoren zu berücksichtigen, die jeweils individuell betrachtet werden müssen. Hier eine kurze Zusammenfassung:
- Schwere und Dauer der Datenschutzverletzung
- Art des entstandenen Schadens
- Anzahl betroffener Personen
- Vorsatz des Unternehmens
- Schadensbegrenzungsmaßnahmen
- Anzahl Einzelverstöße gegen die DSGVO
- wiederholte DSGVO-Verstöße
- Kooperation / Verdeckung durch Unternehmen
- Gründe für Strafminderung
Datenschutz-Konform mit ISO 27701
Lassen Sie den sicheren und integren Umgang mit personenbezogenen Daten in Ihrer Organisation anhand von ISO 27701 überprüfen. Ihr Nutzen:
- interne Nachweisführung über den Umsetzungsgrad von Datenschutzmaßnahmen
- mehr Handlungs- und Rechtssicherheit bei Datenschutzvorfällen
DSGVO-Strafen auf einen Blick
In Summe kann die Datenschutzgrundverordnung (DSGVO) nach nunmehr drei Jahren als (Teil-)Erfolg angesehen werden. Privatpersonen haben die Kontrolle über ihre personenbezogenen Daten ein Stück weit zurückerhalten. Der Preis dafür ist eher gering: ein paar Häkchen mehr im Internet setzen zu müssen und damit ihre Zustimmung zum Umgang mit ihren Daten zu geben. Einem Verstoß gegen den Datenschutz kann eine Privatperson insofern nun effektiver entgegenwirken.
Unternehmen haben hingegen einen gewissen Mehraufwand zu verzeichnen, um Sanktionen für Verstöße zu vermeiden. Der Aufwand wird allerdings je nach Branche und Größe der Organisationen unterschiedlich spürbar. So haben kleine Unternehmen im Prinzip denselben Aufwand zu betreiben wie große, etwa bei den Technischen und Organisatorischen Maßnahmen (TOM). Dies wird bisweilen als verborgene Ungleichbehandlung gedeutet.
Das Bußgeld-Konzept der Datenschutzkonferenz ist in Deutschland ist eine gute und vor allem konkrete Orientierung zu den finanziellen Dimensionen von DSGVO Strafen. Vor dem Hintergrund der ausstehenden europäischen Regelung zu Bußgeldern wird das Konzept jedoch in absehbarer Zeit noch Änderungen erfahren. Schwächen respektive Unklarheiten enthält das Konzept unter anderem in folgender Hinsicht:
- Muss jeder DSGVO-Verstoß bußgeldbewehrt sein? Entfällt die Möglichkeit, zunächst eine Verwarnung auszusprechen?
- Bleibt das Prinzip der Verhältnismäßigkeit dennoch gewahrt?
- Wie werden Sonderfälle behandelt, zum Beispiel Organisationen mit einem negativen Umsatz?
- Sind die Schritte 4 und 5 des Konzepts ausreichend konkret?
- Wie wird der in Art. 83 DS-GVO geforderten Einzelfallbetrachtung Rechnung getragen?
Bußgeldmodell zur DSGVO: Das sagt Bitkom
Grundsätzlich begrüßt Bitkom die Absicht der DSK, zu einer Vereinheitlichung der Aufsichtspraxis zu gelangen. Gleichwohl hält Bitkom eine Anpassung des Modells für erforderlich. Im Wesentlichen kritisiert Bitkom die Umsatzzentrierung des Konzeptes für Sanktionen. Dadurch könne es zu einem „Wertungswiderspruch bei schwerwiegenden Vergehen begangen von kleinen Unternehmen und kleinen Verstößen von großen Unternehmen“ kommen.
Auf einen Blick: Bußgeldkonzept der DSK
Kommentierung des Bußgeldkonzepts der Datenschutzkonferenz (DSK) durch Bitkom
Der Branchenverband benennt eine Reihe von Punkten, die seiner Meinung nach im Bußgeldkonzept nicht ausreichend Beachtung finden:
- Den Umsatz als Hauptkriterium bei der Berechnung der Höhe des Bußgelds heranzuziehen, erscheint als nicht sinnvoll. Es müssen weitere Faktoren in die Grundberechnung mit einbezogen werden und zusätzliche Sanktionierungsmaßnahmen, zum Beispiel nach Art. 58 DS-GVO, sowie nationale Regelungen genannt werden.
- Es fehlt eine genauere Darstellung des Auswahlermessens, des Opportunitätsprinzips sowie weiterer anzuwendender „Werkzeuge“. Hier werfe das Bußgeldkonzept auch verfassungsrechtliche Fragen auf.
- Die Verhältnismäßigkeit der Sanktionen (zum Beispiel Bußgeld) ist nicht durchgängig sichergestellt.
- Der in Art. 83 Absatz 2 DS-GVO festgelegte Blick auf den Einzelfall wird durch das Konzept nahezu ad absurdum geführt.
- Das Konzept bezieht sich auf Unternehmen, jedoch ist zu erklären, wie es sich für private Überwachungsstellen, denen keine Rechts- oder Gesellschaftsform vorgeschrieben sind, verhält. Hierunter fallen beispielsweise Vereine.
- Der Zusammenarbeit und Mithilfe des betroffenen Unternehmens wird nicht genügend Platz eingeräumt.
Fazit: DSGVO-Strafen bei Datenschutzverletzungen
Für die meisten Organisationen ist die DSGVO aufgrund vorhandener Ressourcen keine allzu große Herausforderung. Aus heutiger Sicht lässt sich sagen, dass das anfangs prophezeite Chaos nicht eingetreten ist, und sowohl Abmahnungen als auch die von Aufsichtsbehörden verhängten DSGVO Geldstrafen nach Datenschutzverstößen in der Masse zunächst unter den (negativen) Erwartungen in Millionenhöhe geblieben sind.
Die Betonung liegt auf „zunächst“ – denn die Höhe in Deutschland verhängter Bußgelder steigt deutlich an. Im Jahr 2021 beliefen sie sich auf über 1,2 Milliarden Euro bei deutlich über 400 verhängten Strafen. Zum Vergleich: Im Jahr 2020 wurden in Deutschland Bußgelder über insgesamt rund 170 Millionen Euro bei 340 verhängten Strafen. Spitzenreiter in 2021 war Amazon mit 746 Millionen Euro.
Bemängelt wird, vor allem von Verbänden, noch immer, dass sich die DS-GVO als Standortnachteil für jene Unternehmen erweisen könnte, die auf Künstliche Intelligenz und fortgeschrittene Digitalisierung setzen. Hier gilt es, die Entwicklung im Blick zu behalten.
Bei DQS in guten Händen
Unternehmen, die auf Nummer Sicher gehen und Geldbußen vermeiden wollen, sollten deshalb den Status ihrer Datenschutzmaßnahmen von einer unabhängigen Stelle wie der DQS ermitteln lassen. Als Grundlage dafür dient die internationale Norm ISO 27701 für ein Datenschutzmanagement.
Der Weg führt über die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 direkt zur Erweiterung nach ISO 27701 und damit zum Datenschutz. Eine anschließende Zertifizierung kann bestätigen, dass die DSGVO-Anforderungen erfüllt werden. Also die optimale Lösung, um die gesetzlichen DSGVO-Anforderungen zu erfüllen.
Gerne beantworten wir Ihre Fragen
Sie haben Fragen? Gern zeigen wir Ihnen die Möglichkeiten zu mehr Datenschutz-Konformität auf. Kontaktieren Sie uns. Ganz unverbindlich und kostenfrei.
Die DQS Deutsche Gesellschaft zur Zertifizierung von Managementsystemen wurde 1985 als Deutschlands erster Managementsystem-Zertifizierer gegründet. Als einzige große Zertifizierungsgesellschaft fokussieren wir uns seit jeher auf Managementsysteme und Prozesse. So haben wir 1986 das deutschlandweit erste Zertifikat nach ISO 9001, der weltweit bedeutendsten Norm für Managementsysteme, ausgestellt.
Mit unseren Audits verfolgen wir das Ziel, unseren Kunden Impulse für Verbesserungspotenzial zu geben – und zwar über die reine Bewertung der Konformität mit Normen hinaus. Hierfür setzen wir freiberufliche, hoch qualifizierte Fach- und Führungskräfte mit entsprechenden Branchenkenntnissen als Auditoren ein. Dabei beginnt unser Anspruch dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort.
Expertise und Vertrauen
Unsere Texte und Broschüren werden ausschließlich von internen Normexperten und langjährigen Auditoren für Managementsysteme verfasst. Sollten Sie also Fragen zum Inhalt und unseren Audits haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.
DQS Newsletter
Gert Krüger
Langjähriger Experte und Projektmanager für Informationssicherheit, BSI-KritisV und Datenschutz und Auditor für Qualitäts- und Umweltmanagement.