Cookies erleichtern die Bereitstellung der Dienste auf dieser Website. Mit der Nutzung dieser Website erklären Sie sich mit dem Einsatz von Cookies einverstanden.
Unsere News können Sie auch bequem als Newsletter erhalten!

News vom 21.11.2019

DSGVO: Wann man weshalb wieviel bezahlen muss

Die Datenschutzgrundverordnung (DSGVO) hat wenig Klarheit, viel Arbeit, noch mehr Verdruss und bei Manchem auch ein Loch im Portemonnaie gebracht. Leider hilft Meckern wenig, alle müssen sich daran halten. Am besten ist es natürlich, wenn man für seine Firma alles Punkt für Punkt umsetzt. Doch manche können oder wollen das nicht oder haben es schlicht vergessen. Dann können Strafzahlungen drohen.

Bild: Andreas Breitling/www.pixabay.com
Bild: Andreas Breitling/www.pixabay.com

Wie hoch die sind, das wissen meist selbst die Richter nur nach ihren Urteilen. Denn die bisherige Rechtsprechung ist zu dem seit Mai 2018 akuten Thema recht unterschiedlich. Es ist noch nicht mal klar, wer eigentlich wen verklagen darf. Das Landgericht Stuttgart etwa sieht keine generelle Klagebefugnis von Dritten (15.04.2019, 35 O 68/18 KfH). Klagen dürfen demnach also nur direkt Betroffene. Das dürfte es Abmahnvereinen und -anwälten schwer machen. Auch Mitbewerber dürften nach einem Urteil des Landgerichts Magdeburg als Kläger ausscheiden (18.01.2019, 36 O 48/18). Das Oberlandesgericht Hamburg hingegen will sich nicht so genau festlegen und sieht zumindest bei individuellen Fällen eine Abmahnmöglichkeit (25.10.2018 3 U 66/17). Ähnlich sieht es auch das Landgericht Würzburg (13.09.2018, 11 O 1741/18).

Mehr dazu findet sich hier.

Abmahn-Schlupfloch über UWG

Das lässt Anwälten doch noch das Schlupfloch, über das Gesetz gegen unlauteren Wettbewerb (UWG) aktiv zu werden. Direkt Betroffene haben jedoch unabhängig davon immer eine Klagemöglichkeit. Bleibt die Frage: Wie teuer wird es denn? Ein paar Anhaltspunkte gibt es.

Der wichtigste wäre die Bußgeldhöhe. Die kann bis zu vier Prozent des Jahresumsatzes betragen. Doch das schien den Regierenden hierzulande unangemessen. Im Oktober einigten sich die Datenschutzaufsichtsbehörden von Bund und Ländern auf eine Zumessung des Bußgeldes nach festen Kriterien. Dazu wird zuerst ein wirtschaftlicher Grundwert des Unternehmens ermittelt, der sich anhand des Vorjahresumsatzes bemisst. Dabei gelten für die Unternehmen verschiedene Größen von A bis D. A.I etwa wäre die kleinste Betriebsgröße mit einem Jahresumsatz bis zu 700.000 Euro, D.VII hingegen die größte mit einem Umsatz von über 500 Millionen Euro. Die vollständige Tabelle und das Verfahren finden sich hier in einem Dokument der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Hier die Übersicht über diese Grundwerte nach Umsatzgrößen:

Klasse

Umsatz in Euro

Grundwert in Euro

Kleinstunternehmen (bis 2 Millionen Euro Umsatz)

A.I

Bis 700.000

972

A.II

Über 700.000 bis 1.400.000

2.917

A.III

Über 1.400.000 bis 2.000.000

4.722

Kleinunternehmen (bis 10 Millionen Euro Umsatz)

B.I

Über 2.000.000 bis 5.000.000

9.722

B.II

Über 5.000.000 bis 7.500.000

17.361

B.III

Über 7.500.000 bis 10.000.000

24.306

Mittlere Unternehmen (bis 50 Millionen Euro Umsatz)

C.I

Über 10.000.000 bis 12.500.000

31.250

C.II

Über 12.500.000 bis 15.000.000

38.194

C.III

Über 15.000.000 bis 20.000.000

48.611

C.IV

Über 20.000.000 bis 25.000.000

62.500

C.V

Über 25.000.000 bis 30.000.000

76.389

C.VI

Über 30.000.000 bis

40.000.000

97.222

C.VII

Über 40.000.000 bis 50.000.000

125.000

Großunternehmen (über 50 Millionen Euro Umsatz)

D.I

Über 50.000.000 bis 75.000.000

173.611

D.II

Über 75.000.000 bis 100.000.000

243.056

D.III

Über 100.000.000 bis 200.000.000

416.667

D.IV

Über 200.000.000 bis 300.000.000

694.444

D.V

Über 300.000.000 bis 400.000.000

972.222

D.VI

Über 400.000.000 bis 500.000.000

1.250.000

D.VII

Über 500.000.000

konkreter Tagessatz*

*Ab einem jährlichen Umsatz von über 500 Mio. € ist der prozentuale Bußgeldrahmen von 2 % bzw. 4 % des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, so dass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.

Quelle: Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen vom 14.10.2019

Diese Einordnung ist die Grundlage für den zweiten Schritt. Bei ihm wird ein Faktor für das Vergehen ermittelt. Je nach Schwere kann der zwischen 1 und 6 liegen. Dieser Faktor kann sich jedoch auf 12 und mehr erhöhen, wenn ein besonders schwerer Verstoß mit materiellen Schäden vorliegt. Hier kann sich die Gesamtstrafe wieder auf die eingangs erwähnten vier Prozent Jahresgesamtumsatz aufrechnen.

Was ist formell, was materiell falsch?

Unterschieden wird zwischen formellen und materiellen Verstößen.

Formelle Verstöße sind fehlende oder nicht geeignete technische und organisatorische Maßnahmen zum Datenschutz, Verstöße bei der Auftragsverarbeitung, fehlerhafte Verzeichnisse von Verarbeitungstätigkeiten oder Fehlen eines angemessenen Schutzniveaus. Materielle Verstöße sind etwa unberechtigte Datenverarbeitungsvorgänge, fehlende Einwilligung der Betroffenen oder Verstöße gegen die Persönlichkeitsrechte.

Diese Faktoren stellen sich wie folgt dar:

Schweregrad der Tat

Faktor für formelle Verstöße (Art. 83 Abs. 4 DSGVO)

Faktor für materielle Verstöße (§ 83 Abs. 5, 6 DSGVO)

Leicht

1 bis 2

1 bis 4

Mittel

2 bis 4

4 bis 8

Schwer

4 bis 6

8 bis 12

Sehr Schwer

6<

12<

Quelle: Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen vom 14.10.2019.

In einem dritten Schritt wird der so ermittelte Betrag angepasst. Berücksichtigt werden dabei, wie in einem Gerichtsverfahren üblich, alle Umstände, die entweder zugunsten oder gegen das beklagte Unternehmen auszulegen sind.

Wie nun sieht eine praktische Berechnung aus? Das hat die Datenschutzkanzlei Herting Oberbeck an zwei Beispielen komplett durchexerziert. Ausgangspunkt ist zum einen ein Unternehmen mit 800.000 Euro Jahresumsatz und einem entsprechend zugeordneten Grundwert von 2.917 Euro. Das Unternehmen beschäftigt verschiedene Auftragsverarbeiter. Mit diesen gibt es jedoch keine Verträge, was gegen die formellen Vorgaben der DSGVO verstößt und mit einem Faktor von 4 bewertet würde. Damit ergäbe sich ein Bußgeld von 11.668 Euro. Im zweiten Beispiel handelt es sich um ein Unternehmen mit 28.000.000 Euro Jahresumsatz und einen zugeordneten Grundwert von 76.389 Euro. Es erhebt Daten auf Grundlage einer unwirksamen Einwilligung, was einen Verstoß gegen materielle Vorgaben darstellt. Hier könnte der Faktor 6 angelegt werden und das Bußgeld 458.334 Euro betragen

Die kompletten Berechnungsbeispiele finden sich hier.

Mit diesen Anhaltspunkten könnte man sich zumindest ausrechnen, was auf eine Firma im Falle einer Klage bei einem Verstoß zukommt.

Wir möchten an dieser Stelle noch einmal darauf hinweisen, dass dies keine Rechtsberatung ist. Für weitergehende Fragen zu diesen Urteilen können zugelassene Personen nach Rechtsdienstleistungsgesetz (RDG) kontaktiert werden.  

Aktuelle Forenbeiträge
tricktracker schrieb: Die Definition Glanzruss hätt ich mal gern auf einem Foto gesehen. Schimmerts denn nur ein wenig wenns Licht drauf kommt...
HP02 schrieb: Wäremepumpe: Vor-Rücklauf liegt so zwischen 33 und 40 Grad, wobei die Spreizung typ. 2 Grad ist. Heist bei 33° Rücklauf...
ANZEIGE
Hersteller-Anzeigen
 
Environmental & Energy Solutions
Website-Statistik