Formel für DSGVO-Bußgelder: So errechnet sich die Höhe des Bußgeldes bei einem Datenschutzverstoß
Update: Haben DSGVO-Schulungen positiven Einfluss auf die Höhe eines Bußgeldes?
An sich gibt es keine Pflicht für DSGVO-Schulungen in Unternehmen. Kommt es allerdings zu einem Datenschutzverstoß, erkundigen sich die zuständigen Behörden, ob die Mitarbeiter:innen eine solche Schulung erhalten haben. Ist das nicht der Fall, fällt das Bußgeld meistens höher aus.
Laut Artikel 33 und Artikel 34 der DSGVO haben Unternehmer:innen als datenschutzrechtlich Verantwortliche nämlich eine sogenannte Nachweispflicht gegenüber den Behörden. Sie müssen also beweisen, dass die Mitarbeiter:innen an sich in der Lage wären, datenschutzkritische Vorgänge zu erkennen. Da es keine Pflicht zur Schulung gibt, gibt es für diese allerdings auch keine allgemeingültige Zertifizierung. Deswegen sollten Sie bei der Auswahl kritisch hinterfragen, ob die vermittelten Inhalte den Anforderungen der DSGVO genügen.
exali-Versicherte, die eine IT-, Media-, Consulting- oder Architekten-Haftpflicht abgeschlossen haben, können übrigens aufatmen, denn sie können im Rahmen der Assistance-Leistungen über den Versicherer Markel kostenlos auf die Schulungsvideos und Tests der Firma Perseus zugreifen. Nach der abgeschlossenen Schulung erhalten die Teilnehmer:innen ein Zertifikat, mit dem Sie als Arbeitgeber:in ein gutes Argument im Fall eines Verstoßes haben. Zudem erhalten Sie Zugriff auf die anderen Assistance-Leistungen, zum Beispiel über 1.000 Vorlagen für Rechtstexte und Verträge.
Eine europäische Lösung für ein europäisches Problem
Der Grundgedanke der DSGVO war großartig. Eine einheitliche Rechtsgrundlage für den Datenschutz in ganz Europa sollte her. Da europäische Grenzen bei der digitalen Datenverarbeitung faktisch ohnehin keine Auswirkungen haben, war die Regelung überfällig. Wer davon ausging, dass Bußgelder durch die gemeinsame Gesetzesgrundlage über Landesgrenzen hinweg vergleichbar würden, wurde im vergangenen Jahr allerdings eines Besseren belehrt. Jedes Land berechnete seine eigenen Bußgelder. Während das höchste in Deutschland verhängte Bußgeld lange Zeit bei 80.000 Euro lag, musste ein polnisches Unternehmen dieses Jahr umgerechnet 220.000 Euro bezahlen. In England und Frankreich waren sogar Rekordsummen von bis zu 200 Millionen fällig.
Bußgeldformel macht das Risiko kalkulierbar
Um die Berechnung in Zukunft möglichst nachvollziehbar und transparent zu gestalten, einigten sich die Datenschutzaufsichtsbehörden des Bundes und der Länder im Juni 2019 auf ein neues Modell zur Bußgeldberechnung. Die Berechnungsformel richtet sich nach einem Tagessatz, der sich aus dem Vorjahresumsatz des Unternehmens geteilt durch 360 ergibt. Die Schwere des begangenen Verstoßes, der Grad der Fahrlässigkeit und weitere Faktoren werden mit einem Auf- oder Abschlag im Rahmen von -25 Prozent bis zu + 300 Prozent des Tagessatzes berücksichtigt.
Höherer Umsatz = Höheres Bußgeld
Das heißt: Je mehr ein Unternehmen erwirtschaftet, umso teurer wird ein DSGVO-Verstoß. Gehen wir von einer Medienagentur mit einem Jahresumsatz von 100.000 Euro aus, beläuft sich der Tagessatz auf (100.000 Euro/360=) 277,78 Euro. Die Datenschutzbehörden, oder im Zweifelsfall Gerichte, ordnen den Verstoß dann zuerst der Schwere nach ein. Dem Vergehen entsprechend wird ein Multiplikator von 1 bis 14,4 angewendet. In besonderen Fällen kann der Faktor auch höher ausfallen. Bei einem mittleren Verstoß (Faktor 6) wäre das für unsere Agentur ein Tagessatz von (277,78 Euro*6=) 1.666,67 Euro. Anschließend werden auf diese Summe vier weitere Multiplikatoren angewendet, die Sie folgender Grafik entnehmen können:
Rechenbeispiel für 100.000 Euro Jahresumsatz
Dieses Rechenbeispiel zeigt, dass die Multiplikatoren erhebliche Auswirkungen auf die Höhe des Bußgeldes haben können. Nehmen wir wieder die Agentur mit einem Jahresumsatz von 100.000 Euro. Im besten Fall (geringer Verstoß - Faktor 1, geringe Fahrlässigkeit -25 %, vorbildliche Kooperation mit den Behörden -25 %, schnelle und erfolgreiche Gegenmaßnahmen -25 % und erster Verstoß gegen die DSGVO +0 %) gibt es einen Nachlass von 75 % auf den Tagessatz. Damit beträgt die Strafe unserer Agentur lediglich (277,78 Euro*1*0,25=) 69,45 Euro.
Im schlechtesten Fall (sehr schwerer Verstoß - Faktor 14,4, vorsätzlicher Verstoß +50 %, unkooperativ +50 %, keine Gegenmaßnahmen +50 % und vierter Verstoß +300 %) gibt es einen Aufschlag von 450 %, was zu einer Bußgeldforderung von (277,78 Euro*14,4+450% =) 22.000 Euro führt.
DSGVO-Bußgeld: Unternehmen können die Höhe selbst beeinflussen
Wer sich also stets um Datenschutz bemüht, eine Datenpanne sofort meldet und mit den Behörden zusammenarbeitet, kann einen entscheidenden Einfluss auf die Höhe des zu erwartenden Bußgeldes nehmen. Ein paar Haken hat die neue Bußgeldformel natürlich trotzdem: Nach der neuen Methode werden die meisten Bußgelder eher höher als niedriger ausfallen und das maximale Bußgeld bleibt unverändert bei 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem was höher ist. Außerdem ist die Rechenformel für europäische Länder nicht bindend, sondern lediglich ein Vorschlag, den die deutschen Behörden umsetzen.
Video: So errechnet sich das DSGVO-Bußgeld
Sie wollen sich die Berechnung des DSGVO-Bußgeldes noch einmal in Ruhe anschauen? Dann ist unser Video, in dem wir die Formel Schritt für Schritt erklären, das Richtige für Sie:
Fahrlässig begangene Verstöße sind versichert
Es gibt aber auch gute Nachrichten: Wenn Sie eine Berufshaftpflichtversicherung über exali.de abschließen, sind DSGVO-Bußgelder versichert, solange dies nach geltendem Recht möglich ist. Wenn Sie durch einen Datenschutzverstoß bei jemandem anderen einen Schaden verursachen (wenn zum Beispiel Kundendaten verlorengehen), sind Sie natürlich ebenfalls abgesichert.
Haben Sie Fragen zur besten Absicherung für Ihr Business, dann kontaktieren sie gerne unsere Versicherungsexperten. Diese sind ohne Callcenter und Warteschleife persönlich für Sie erreichbar.