Erhöhung der Bußgelder bei Verstoß gegen die DSGVO durch das DSK-Konzept
Verstöße gegen die DSGVO haben hohe Bußgelder zur Folge. Vor allem das neue Bußgeld-Konzept der DSK führt zu einer Anhebung der Bußgelder. Dies zeigt auch ein Beispiel, in dem die AOK Baden-Württemberg Daten von 500 Gewinnspielteilnehmern für Werbezwecke ohne deren Einwilligung verwendet und damit gegen Art. 32 DSGVO verstoßen hat. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LdDI) hat als Sanktion ein Bußgeld in Höhe von 1,24 Millionen Euro gegen die AOK verhängt.
Hierbei handelt es sich um eine der höchsten bisher verhängten Strafen.
Hierbei handelt es sich um eine der höchsten bisher verhängten Strafen.
Laut der Pressemitteilung des LfDI veranstaltet die AOK in den Jahren 2015 bis 2019 Gewinnspiele, in deren Rahmen sie personenbezogene Daten der Teilnehmer erhob. Hierbei handelte es sich beispielsweise um die Kontaktdaten und Krankenkassenzugehörigkeit.
Die Daten der Teilnehmer sollten nur dann zu Werbezwecken genutzt werden, wenn diese hierin eingewilligt hatten. Sichergestellt sollte dies durch technische und organisatorische Maßnahmen.
Die von der AOK festgelegten Maßnahmen genügten nicht den gesetzlichen Anforderungen, sodass es zu dem Verstoß gegen Art. 32 DSGVO kam. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung verwendet.
Nachdem der Vorwurf bekannt wurde, stellte die AOK unmittelbare alle Vertriebsmaßnahmen ein und überprüfte sämtliche Abläufe. Intern wurden die Prozesse und Kontrollstrukturen angepasst. Zudem sollen weitere Maßnahmen in Abstimmung dem LfDI erfolgen. Die Maßnahmen führten dazu, dass in kurzer Zeit eine Steigerung des Schutzniveaus für die per Psonenbezogenen Daten bei der Vertriebstätigkeit der AOK erreicht werden konnte.
Bei der Bemessung der Bußgeldhöhe gemäß Art. 83 DSGVO wurden die Korrekturmaßnahmen der AOK zu ihren Gunsten berücksichtigt. Auch dass die AOK als gesetzliche Krankenkasse ein Teil des deutschen Gesundheitssystems darstelle, sei bei der Höhe berücksichtigt worden. Bei der Bestimmung der Höhe des Bußgeldes sei sicherzustellen, dass es verhältnismäßig ist und die Erfüllung der gesetzlichen Aufhaben der AOK nicht gefährdet würden.
Neues DSK-Konzept zur Bemessung der DSGVO-Bußgelder
Die Datenschutzkonferenz (DSK) hat Ende 2019 ein neues Konzept zur Bußgeldbemessung bei Verstößen gegen die DSGVO durch Unternehmen veröffentlicht. Ziel ist es, den Datenschutzbehörden eine einheitliche Methode zur systematischen, transparenten und nachvollziehbaren Bemessung der Bußgelder zur Verfügung zu stellen. Dieses Konzept soll bis zum Erlass von Leitlinien durch den Europäischen Datenschutzausschuss die Grundlage für die Bußgeldbemessung bilden.
Das Konzept ist nur auf Unternehmen und nicht auf Vereine oder natürliche Personen anwendbar. Es gilt nur für Verstöße innerhalb von Deutschland und findet auf grenzübergreifende Fälle keine Anwendung.
Die Bemessung des Bußgeldes erfolgt in fünf Schritten:
Die Datenschutzkonferenz (DSK) hat Ende 2019 ein neues Konzept zur Bußgeldbemessung bei Verstößen gegen die DSGVO durch Unternehmen veröffentlicht. Ziel ist es, den Datenschutzbehörden eine einheitliche Methode zur systematischen, transparenten und nachvollziehbaren Bemessung der Bußgelder zur Verfügung zu stellen. Dieses Konzept soll bis zum Erlass von Leitlinien durch den Europäischen Datenschutzausschuss die Grundlage für die Bußgeldbemessung bilden.
Das Konzept ist nur auf Unternehmen und nicht auf Vereine oder natürliche Personen anwendbar. Es gilt nur für Verstöße innerhalb von Deutschland und findet auf grenzübergreifende Fälle keine Anwendung.
Die Bemessung des Bußgeldes erfolgt in fünf Schritten:
1. Zuordnung des betroffenen Unternehmens zu einer Größenklasse
Die Größenklasse richtet sich nach dem gesamten weltweit erzielten Vorjahresumsatz des Unternehmens
Sie sind unterteilt in
- Kleinstunternehmen: bis 2 Mio. € Jahresumsatz
- kleine Unternehmen: 2 bis 10 Mio. € Jahresumsatz
- mittlere Unternehmen: 10 bis 50 Mio. € Jahresumsatz
- Großunternehmen: über 50 Mio. € Jahresumsatz
2. Bestimmung des durchschnittlichen Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
Der wirtschaftliche Grundwert richtet sich nach dem mittleren Jahresumsatz der jeweiligen Untergruppe.
3. Ermittlung eines wirtschaftlichen Grundwertes
Hierfür wird der mittlere Jahresumsatz der Untergruppe durch 360 Tage geteilt und ein auf die Vorkommastelle aufgerundeter Tagessatz errechnet
- Multiplikation dieses Grundwertes mittels eines von der Schwere der Tatumstände abhängigen Faktors
Für die Schwere des Verstoßes bestehen vier Kategorien: leicht, mittel, schwer und sehr schwer. Der Tagessatz wird mit einem von der Schwere der Tatumstände abhängigen Faktor multipliziert.
4. Es wird zudem zwischen formellen und materiellen Verstößen unterschieden.
Formelle Verstöße sind nach Art. 83 Abs. 4 DSGVO bspw. Verstöße gegen technische und organisatorische Maßnahmen, gegen das Verzeichnis der Verarbeitungstätigkeit oder gegen die Meldepflicht von Datenpannen. Materielle Verstöße sind nach Art. 83 Abs. 5, 6 DSGVO solche gegen die Grundsätze für die Verarbeitung personenbezogener Daten, gegen die Bedingungen für die Einwilligung oder gegen die Betroffenenrechte.
5. Anpassung dieses ermittelten Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände
Der ermittelte Betrag kann zuletzt an die für und gegen den Betroffenen sprechenden Umstände angepasst werden, soweit diese noch nicht berücksichtigt sind. Die zu berücksichtigenden Kriterien richtet sich nach dem Katalog des Art. 83 II DSGVO.
Bußgelder vor dem DSK-Konzept
Bereits vor dem DSK-Konzept konnten Verstöße gegen die DSGVO mit hohen Bußgeldern geahndet werden. Der Bußgeldrahmen für DSGVO-Verstöße sieht Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes des Unternehmens vor. Trotz dieses hohen Bußgeldrahmens fielen die ersten Bußgelder in Deutschland bei Verstößen gegen die DSGVO eher gering aus. Das DSK-Konzept führt daher faktisch zu einer Erhöhung der Verhängten Bußgelder. Es gibt den Datenschutzbeauftragten des Bundes und der Länder einen Leitfaden für die Berechnung an die Hand. Wie bereits vor der Veröffentlichung von einigen Datenschutzbeauftragten angekündigt, lassen Verstöße gegen die DSGVO für Unternehmen nun Sanktionen in Millionenhöhe zu befürchten.
Bereits vor dem DSK-Konzept konnten Verstöße gegen die DSGVO mit hohen Bußgeldern geahndet werden. Der Bußgeldrahmen für DSGVO-Verstöße sieht Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes des Unternehmens vor. Trotz dieses hohen Bußgeldrahmens fielen die ersten Bußgelder in Deutschland bei Verstößen gegen die DSGVO eher gering aus. Das DSK-Konzept führt daher faktisch zu einer Erhöhung der Verhängten Bußgelder. Es gibt den Datenschutzbeauftragten des Bundes und der Länder einen Leitfaden für die Berechnung an die Hand. Wie bereits vor der Veröffentlichung von einigen Datenschutzbeauftragten angekündigt, lassen Verstöße gegen die DSGVO für Unternehmen nun Sanktionen in Millionenhöhe zu befürchten.