Lange Zeit war es ruhig um die Datenschutzgrundverordnung und die vorhergesagten Strafzahlungen in dem Bereich. Als im Mai 2018 die Datenschutzgrundverordnung in Kraft trat, brach das große Chaos und die Ratlosigkeit in vielen Unternehmen aus. Es war lange Zeit unklar, welches Ausmaß diese Verordnung annehmen würde. Klar war nur, der Aufwand, den Richtlinien neben dem Tagesgeschäft gerecht zu werden, wird für viele Unternehmen sehr groß werden.

Nun merkt man immer mehr, dass die Aufsichtsbehörden durchgreifen und vermehrt Strafzahlungen verhängen – je nach Schwere eines Datenschutzverstoßes, können bis zu 20 Millionen Euro Bußgeld fällig werden. Bei großen Konzernen kann das Bußgeld aber auch bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen. Somit sind theoretisch auch Milliardenstrafen denkbar.

Berechnungsmodell

Wie die genaue Berechnung abläuft, war lange intransparent. Jetzt sollen sich die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) auf ein Modell geeinigt haben, um die Höhe der Bußgelder zu bestimmen. Ziel ist es, dass es eine einheitliche Methode gibt, die Transparenz, Systematik und Nachvollziehbarkeit schafft. Das durchaus komplexe Modell sieht dabei wie folgt aus:

1. Das betroffene Unternehmen wird in eine von vier Größenklassen geordnet (A-D)

Die Größenklasse richtet sich dabei nach dem gesamten weltweit erzielten Unternehmensumsatz des Vorjahres. Die Größenklassen A-C stellen dabei Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) dar. D bezieht sich dann auf Großunternehmen. Zur konkreteren Einordnung werden die Unternehmen nochmals in Untergruppen eingeordnet.

2. Der mittlere Jahresumsatz der jeweiligen Untergruppe wird bestimmt.

Dieser Schritt dient der Veranschaulichung der darauf aufbauenden Ermittlung des wirtschaftlichen Grundwertes.

3. Ein wirtschaftlicher Grundwert wird ermittelt.

Für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet.

4. Der Grundwert wird mittels eines Faktor multipliziert.

Der Faktor ist abhängig vom Schweregrad des Verstoßes (Faktor 1-4 bei leichten Verstößen, bis hin zu einem Faktor zwischen 12 und 14,4 bei schweren Verstößen).

Die zuvor ermittelte Summe wird mit dem entsprechenden Faktor multipliziert. Die Auswahl des Faktors hängt von folgenden Kriterien ab:

• Zum einen anhand der Schwere der Tat. Anhand der konkreten tatbezogenen Umstände des Einzelfalls wird zwischen den Schweregraden leicht, mittel, schwer oder sehr schwer unterschieden.
• Für materielle Verstöße sieht die Tabelle einen doppelt so hohen Faktor vor als für formelle Verstöße.

5. Der ermittelte Wert wird nochmal anhand nicht berücksichtigter Umstände angepasst

Für die abschließende Bestimmung des Wertes werden nochmal alle für und gegen den Betroffenen sprechenden Umstände berücksichtigt (sofern noch nicht betrachtet). Hierzu zählen vor allem täterbezogene Umstände, sowie sonstige Umstände, wie z. B. lange Verfahrensdauer, drohende Zahlungsunfähigkeit des Unternehmens, etc.

Je nach Bundesland / Land ist es unterschiedlich wie bei der Überprüfung vorgegangen wird. Zumeist wird jedoch nur bei Häufung von Beschwerden gegen ein Unternehmen vorgegangen bzw. dieses geprüft. Prinzipiell werden also nicht proaktiv Unternehmen ausgewählt, die daraufhin analysiert und geprüft werden.

Internationale Rekord-Bußgelder

In der letzten Zeit gab es nun einige Fälle, bei denen ein sehr hoher Betrag an Strafzahlungen getätigt werden musste. Zwei Fälle beschäftigen aktuell die britische Datenschutzbehörde ICO (Information Commissioner’s Office).

British Airways

Eine Rekordzahlung droht nun z.B. der British Airways, welche knapp 205 Millionen Euro Strafe zahlen sollen, nachdem es Unbekannten ermöglicht war, den Zugriff auf Kundendaten zu haben. Durch diesen Hack wurden Login-, Kreditkarten-, Reise- und Adressdaten abgefangen von ca. 500.000 Kunden (Quelle: spiegel.de). Gerade im Softwarebereich ist es immens wichtig, entsprechende Sicherheitsvorkehrungen zu treffen, damit es Hackern nicht möglich ist, auf diese zuzugreifen. Auch in diesem Fall war von zu schwachen Sicherheitsvorkehrungen die Rede. Die Kunden wurden bei einer Flugbuchung auf eine Seite des Hackers weitergeleitet, wo die entsprechenden Daten vom Kunden eingegeben wurden und der Hacker damit die abgreifen konnte.

Marriott

Auch der Hotelkette Marriott ergeht es ähnlich. Deren Computersysteme wurden nicht ausreichend gesichert, sodass es Hackern möglich war, Daten und Informationen (z. B. unverschlüsselte Ausweisnummern, gültige Zahlungskartennummern) von 383 Millionen Gästen abzugreifen (Quelle: spiegel.de). Wie hoch der Betrag nun wirklich ausfallen wird, ist noch unklar. Man vermutet, dass sich das Bußgeld auf ca. 110 Millionen Euro belaufen wird (Quelle: spiegel.de).

Bußgelder in Deutschland

Die deutschen Behörden gingen bisher vergleichsweise zurückhaltender vor. Der Bundesdatenschutzbeauftragte Ulrich Kelber erwähnte jedoch, dass auch in Deutschland bald Bußgelder in Millionenhöhe zu erwarten seien (Quelle: Netzpolitik.org).

Wohnungsgesellschaft Deutsche Wohnen

Und prompt passierte es: Ein sehr aktueller Fall betrifft die Wohnungsgesellschaft Deutsche Wohnen. Die Berliner Datenschutzbehörde, hatte nach Prüfungen festgestellt, dass das verwendete System personenbezogene Mieter- und Bewerberdaten speichere und das System diese Daten nicht löschen könne. Die Daten, die Deutsche Wohnen damit innehat, sind sehr sensible Daten, wie z. B. finanzielle Verhältnisse, Gehaltsnachweise, Versicherungsdaten, etc. Für das Unternehmen wurden aus dem Grund ein Rekordbetrag im Raum Deutschland verhängt – 14,5 Millionen Euro soll das Unternehmen Strafe zahlen (Quelle: Der Tagesspiegel).

Delivery Hero Germany

Ein weiteres Beispiel aus Deutschland betraf Delivery Hero Germany. Das Lieferdienstunternehmen musste ein Bußgeld in Höhe von 195.000 Euro zahlen. Grund dafür war, dass das Unternehmen die Auskunfts-, Lösch-, und Widerspruchsrechte von Kunden und Kundinnen missachtete. Auch hier lagen Beschwerden gegen das Unternehmen vor, weshalb die Berliner Datenschutzbehörde tätig wurde.  

Fazit

Solche Fälle schüren natürlich Angst bei den Unternehmen – zu Recht. Es zeigt einmal mehr, wie wichtig die entsprechende Datensicherheit bei Softwaresystemen ist. Und es zeigt auch, dass die Behörden nicht mehr tatenlos zusehen, sondern bei Beschwerden von Kunden oder Konsumenten auch tatsächlich aktiv werden. Eine entsprechende Sensibilisierung mit dem Thema ist daher unausweichlich.