Oberberg - Oberberg-Aktuell informiert in dieser Rubrik über Rechtsfragen - Der Service wird präsentiert von Fincke Rechtsanwälte Bergneustadt - Diesmal geht es um das Thema Datenschutz und IT-Sicherheit.

Was es kostet, wenn Datenschutz und IT-Sicherheit missachtet werden

 

von Rechtsanwalt Thomas Hütt

 

Am 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seit dem ist das Thema Datenschutz in aller Munde. Fast alle Unternehmen –und auch wir Freiberufler- sind spätestens seit diesem Zeitpunkt gezwungen, sich mit den Vorschriften der DSGVO auseinander zu setzen, betriebliche Abläufe und insbesondere den Umgang mit personenbezogenen Daten zu überprüfen und ggfs. entsprechende Anpassungen an die Vorgaben der DSGVO vorzunehmen. Datenschutzbeauftragte mussten bestimmt bzw. engagiert werden, Datenschutzerklärungen mussten formuliert werden etc. Von Anfang an waren die Bestimmungen der DSGVO besonders ernst zu nehmen, denn Art. 83 der DSGVO sieht bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % des Vorjahresumsatzes eines Unternehmens vor.

 

Bei der Ahndung von Verstößen gegen die DSGVO haben sich die deutschen Datenschutzbehörden aber bislang sehr moderat verhalten. Ein Jahr nach Wirksamwerden der DSGVO kratzte nicht einmal die Summe allerin Deutschland verhängten Bußgelder an der Millionenmarke. Im europäischen Ausland sah dies schon anders aus: In Frankreich wurde gegen Google ein Bußgeld in Höhe von 50 Millionen Euro festgesetzt. Gegen British Airways setzte die zuständige Datenschutzbehörde in Großbritannien ein Bußgeld von mehr als 200 Millionen Euro fest.

 

Doch die moderate Vorgehensweise der deutschen Behörden könnte sich nun ändern. Denn die Datenschutzkonferenz (DSK), das Abstimmungsgremium der deutschen Datenschutzbehörden, hat nun ein Konzept zur Bußgeldbemessung vom 14. Oktober 2019 veröffentlicht. Das Konzept soll eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldbemessung garantieren. Die Datenschutzbehörden eines jeden Bundeslandes sollen sich hieran orientieren. Nach Maßgabe dieses Konzepts soll sich die Bußgeldbemessung zukünftig grundsätzlich in fünf Schritten vollziehen. Einzelheiten sind – wie so oft- kompliziert. Die fünf Schritte können wir daher an dieser Stelle nur grob skizzieren:

 

1. Einordnung des betroffenen Unternehmens in eine von vier Obergruppen:

 

• Kleinstunternehmen: Jahresumsatz bis 2 Millionen Euro
• Kleine Unternehmen: Jahresumsatz über 2 bis 10 Millionen Euro
• Mittlere Unternehmen: Jahresumsatz über 10 bis 50 Millionen Euro
• Große Unternehmen: Jahresumsatz über 50 Millionen Euro

 

2. Im zweiten Schritt soll der durchschnittliche Jahresumsatz des betroffenen Unternehmens bestimmt werden. Dabei soll eine pauschale Orientierung an der jeweiligen Einordnung des Unternehmens in eine der zuvor genannten (Ziff. 1.) Unternehmensgruppe stattfinden.

 

3. Ausgehend von dem so ermittelten mittleren Jahresumsatz soll sodann ein Tagessatz errechnet werden. Der mittlere Jahresumsatz wird dabei durch 360 Tage geteilt.

 

4. Dieser Tagessatz soll sodann in Abhängigkeit von der jeweiligen Schwere des Verstoßes gegen die Bestimmungen der DSGVO mit einem Faktor X multipliziert werden (z.B.: mittelschwerer Verstoß = Faktor 5, schwerer Verstoß = Faktor 10). An dieser Stelle kommt es also maßgeblich auf die tatsächliche Art und den tatsächlichen Umfang des jeweiligen Verstoßes an.

 

5. Im fünften und letzten Schritt soll schließlich die Möglichkeit bestehen, das so bemessene Bußgeld individuell anzupassen. Eine individuelle Anpassung kann dann z. B. im Hinblick auf die finanzielle Situation des Unternehmens bzw. im Hinblick auf das Verhalten des Unternehmens in der Vergangenheit (Wiederholungstäter!) erfolgen.

 

In Berlin soll das Konzept zur Bußgeldbemessung bereits Anwendung gefunden haben. Nach einer Pressemitteilung der Berliner Datenschutzbehörde wurde gegen die Immobiliengesellschaft „Deutsche Wohnen“ ein Bußgeld von ca. 14,5 MillionenEurofestgesetzt! Grund für das Bußgeld war ein Verstoß gegen Artikel 25 DSGVO. Danach müssen Unternehmen grundsätzlich geeignete, technische und organisatorische Maßnahmen vorsehen, die für eine Datenminimierung sorgen. Damit wurde in Deutschland erstmals und im Zusammenhang mit der DSGVO ein Bußgeld in zweistelliger Millionenhöhe verhängt.

 

Hier noch ein Rechenbeispiel aus dem aktuellen „Anwaltsblatt“ (01/2020):

 

„Eine Einzelkanzlei mit einem Vorjahresumsatz von 200.000 EUR fiele unter die Gruppe A Kleinstunternehmen mit einem Jahresumsatz bis 2 Mio. Euro und innerhalb der Gruppe A in die Untergruppe A.I für Unternehmen mit einem Jahresumsatz bis zu 700.000 Euro. Der mittlere Jahresumsatz der Kanzlei würde dann – trotz tatsächlich geringeren Umsatzes - pauschal 350.000 Euro betragen, der Tagessatz 972 Euro. Geraten nun wegen nicht ausreichender technischer und organisatorischer Maßnahmen sensible Mandantendaten ins Netz, würde dies einen formellen […], aber wohl sehr schweren Verstoß darstellen, der mindestens mit dem Faktor 6 beziffert werden würde. Außerdem kämen möglicherweise erschwerende Umstände hinzu […]. Ginge man dann von einem Faktor 10 aus, würde die zuständige Datenschutzbehörde gegen die Einzelkanzlei ein Bußgeld in Höhe von 9.720 Euro verhängen […]“

 

Tendenziell ist nun mit deutlich höheren Bußgeldern bei der Ahndung von Verstößen gegen die DSGVO zu rechnen. Das Thema Datenschutz bleibt also hochbrisant und aktuell!