Gemäß dem neuen DSGVO-Bußgeldkatalog drohen schon bei kleinen Verstößen horrende Geldstrafen.

www.fotogestoeber.de/iStock/GettyImages

11.12.19
Wirtschaft

DSGVO-Bußgeldkatalog schockt CFOs

Der neue DSGVO-Bußgeldkatalog hat es in sich – schon bei kleinen Verstößen können horrende Geldstrafen drohen, wie der aktuelle Fall bei 1&1 zeigt. Nicht nur das: Wenn ein CFO seiner Pflicht nicht nachkommt, kann er sogar selbst haftbar gemacht werden.

Vor zwei Tagen erst sah sich der Telekomanbieter 1&1 einer saftigen Sanktion ausgesetzt: Weil das Unternehmen Kundendaten nicht ausreichend geschützt haben soll, droht ihm nun eine Geldbuße in Höhe von 9,5 Millionen Euro. 1&1 zeigte sich empört über die Entscheidung der Behörde und will jetzt gegen den Bescheid rechtlich vorgehen.

Bei einem anderen Fall, der sich im Oktober ereignete, wurde ein noch höheres Bußgeld verhängt: Der Immobilienkonzern Deutsche Wohnen soll 14,5 Millionen Euro bezahlen – weil das Unternehmen Kundendaten unbemerkt länger aufgehoben haben soll als notwendig. Die Gemeinsamkeit der Sanktionen: In beiden Fällen geht es um Verstöße gegen die Datenschutzgrundverordnung (DSGVO).

DSGVO-Bußgeldkatalog lässt höhere Geldstrafen zu

Die DSGVO gilt zwar schon seit 2018. Neu ist jetzt aber ein Bußgeldkatalog, den die deutschen Datenschutzbehörden vor Kurzem verabschiedet haben. Er beinhaltet ein neues Rechenmodell zur Bemessung von Bußgeldern wegen Datenschutzverstößen, erklärt Tim Wybitul, Rechtsanwalt und DSGVO-Experte bei der Kanzlei Latham & Watkins.

„Bislang gab es keine einheitliche Berechnung der Strafen bei DSGVO-Verstößen. Die einzige Regel war, dass Geldbußen den Betrag von 4 Prozent des Konzernumsatzes pro Verstoß nicht übersteigen dürfen“, meint Wybitul. Abgesehen davon hätten die deutschen Behörden recht freie Hand bei der Bemessung der Bußgelder gehabt.

Dieser Sachverhalt verändert sich mit dem neuen Bußgeldkatalog grundlegend – und lässt in der Konsequenz erheblich höhere Sanktionen zu, weiß der DSGVO-Experte: „Nun berechnen die Behörden die Strafen auf der Basis des weltweiten Konzernumsatzes des Vorjahres“, rechnet Wybitul vor. „Dieser wird durch 360 geteilt, um den sogenannten ‚Tagessatz‘ auszurechnen.“

„Der neue Bußgeldkatalog lässt in der Konsequenz erheblich höhere Sanktionen zu.“

Tim Wybitul, Rechtsanwalt und DSGVO-Experte bei Latham & Watkins

Bewertungen des DSGVO-Verstoßes bleibt Willkür

In einem nächsten Schritt beurteilen die Behörden die Schwere des Vergehens mit einem Multiplikator zwischen 1 und 12 oder höher, wobei 1 für einen leichten Verstoß gilt, wie beim Versenden von Emails mit offenen Verteiler, und ein Wert über 12 für einen sehr schweren Verstoß, der etwa eine große Anzahl von Personen oder sensible Daten betrifft oder lange angedauert hat. Der Tagessatz wird dann mit dem festgelegten Faktor multipliziert und ergibt die Basis für die Höhe der Geldstrafe.

Ein Unternehmen mit einem Jahresumsatz von 250 Millionen Euro kommt so bei einem mittelschweren Vergehen (Höchstfaktor 8) schnell auf eine Geldstrafe in Höhe von 5,5 Millionen Euro. Dieser Betrag wird dann noch weiter anhand der Art und Weise der Tatbegehung und der Schuldschwere modifiziert. Wie schwer ein Vergehen aber tatsächlich zu bewerten ist, liegt nach wie vor im Ermessen der jeweiligen Landesbehörde.

DSGVO-Geldbußen können ins Unermessliche ansteigen

„Bei dem dritten Wiederholungsfall kann sich das DSGVO-Bußgeld um noch einmal 300 Prozent erhöhen.“

Tim Wybitul

Doch das ist nicht alles, stellt Tim Wybitul fest: „Je nachdem, um was für Daten es sich handelte, und über welchen Zeitraum der Fehler begangen wurde, kann eine Geldstrafe noch höher ausfallen.“ Auch wenn es sich um einen wiederholten Fehler handelt, müssen Unternehmen erhöhte Bußgelder bezahlen, beobachtet Wybitul. Handelt es sich beispielsweise um den dritten Wiederholungsfall, erhöhe sich das Bußgeld dementsprechend noch einmal um 300 Prozent – und es gibt keine Deckelung der Strafen bei der Zusammenrechnung einzelner Verstöße.

Für CFOs bedeutet das: Sie müssen nicht nur achtsam mit Daten umgehen, die in der Finanzabteilung zur Genüge verwendet werden, sondern zusätzlich möglichen Verstößen vorbeugen. „Da der neue Katalog das Berechnen der finanziellen Risiken präziser macht, stehen CFOs auch in der Pflicht, diese Risiken konkret zu berechnen – und ihnen nachzugehen“, weiß der DSGVO-Experte.

Finanzchefs und ihre Vorstandskollegen sollten daher mit dem internen Risikomanagement kooperieren, um mögliche finanzielle Einbußen vorab einzuplanen und Rückstellungen zu bilden, zum Beispiel falls es einen Verdacht gibt, dass in der Vergangenheit falsch mit Daten umgegangen wurde. Wer dieser Pflicht nicht nachkomme, kann später gegebenenfalls sogar selbst haftbar gemacht werden.

Wurde ein DSGVO-Verstoß aufgedeckt, können Vorstände den Bußgeldbescheid vor Gericht anfechten. „Dort können Finanzchefs geltend machen, dass der Vorwurf nicht zutrifft, dass sie das Fehlverhalten eingestellt oder zumindest Gegenmaßnahmen eingeleitet haben“, berichtet Wybitul. Schnelles Handeln könne sich bußgeldmildernd auswirken – ebenso wie eine Selbstanzeige. Im besten Falle kämen Unternehmen trotz Verstößen gar mit einer Verwarnung davon. Oft bleibt den Unternehmen aber nur die Kooperation mit den Behörden, um hohe Bußgelder zu vermeiden.

Sind die DSGVO-Strafen verhältnismäßig?

Das gefällt nicht jedem CFO – und auch unter Rechtsexperten wird der neue Bußgeldkatalog heftig kritisiert. „Das Modell soll DSGVO-Bußgelder einheitlich, wirksam, abschreckend und verhältnismäßig machen“, leitet Tim Wybitul ein. Doch gerade an der Verhältnismäßigkeit der Sanktionen zweifelten er und viele andere Rechtsexperten.

So sei die Berechnung der Strafen auf Basis des Konzernumsatzes nicht gerechtfertigt, monieren die Kritiker. Ursprünglich entstammt diese Rechengrundlage nämlich dem Kartellrecht, wo Strafen auf Basis des Konzernumsatzes berechnet werden. Allerdings dient den Behörden hier – anders als bei der DSGVO – der sogenannte befangene Umsatz als Grundlage, also der Umsatz, den das Unternehmen durch sein kartellrechtliches Fehlverhalten erwirtschaftet hat.

Gerade an der Verhältnismäßigkeit der Sanktionen zweifeln viele Rechtsexperten.

Wie hoch die Strafen daher künftig ausfallen, und wie erfolgreich Unternehmen Bußgeldbescheide anfechten werden, wird sich allerdings erst noch zeigen. Denn Rechtsexperten zufolge fehlen noch Erfahrungswerte, wie die Rechtsprechung zur DSGVO künftig ausfällt.

olivia.harder[at]finance-magazin.de