Das Hotel ist sein Beruf - Marcus Smola und sein Klavier im Fips-Podcast

DSGVO Bußgeld Höhe und Strafen-Katalog veröffentlicht

18.11.2019 | Wolfgang Ahrens Hotelier.de

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 14.10.2019 ein Konzept zur DSGVO Bußgeld Höhe vorgelegt. Nun wird endgültig klar, welcher Bußgeldkatalog bei was für Verstößen auf gewerbliche tätige Betriebe angewendet wird. Wir haben anhand des Bußgeldkataloges Beispielrechnungen durchgeführt

Paragraph / Bildquelle: Hotelier.de

Buxtehude, 18.11.2019; Wenn wir Auto fahren, verdrängen wir gern die Gefahren, die daraus resultieren. Und kleinere Verstöße rufen wir als Bagatelle aus, denn die Bußgelder z.B. für zu schnelles Fahren sind zwar auch empfindlich, doch noch zu bezahlen. Bei Datenschutzverletzungen wusste man bisher, ja, es gibt Strafen, doch welche bisher nicht. Das ist nun seit oben genannter Veröffentlichung anders.

Da die EU bisher keine DSGVO Bußgelder festgelegt hat, greift nun das Konzept zur Bußgeldbemessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) der Länder.

Die Möglichkeiten der Verstöße sind immens

Rechtsanwalt Peter Hense von Spirit Legal ist ein Fachmann für Datenschutz sowie auch für Hotels und Gastronomie. In einem Webinar machte er noch einmal klar, wo Webseitenbetreiber überall Verstöße gegen das Datenschutzgesetz begehen können und wo überall in Zukunft mit Strafe zu rechnen ist.

Dabei sind die Datenschutzaufsichtsbehörden gar nicht forschend tätig, denn ca. 600 Mitarbeiter in 16 Bundesländern müssen teilweise waschkorbweise Material zu Datenschutzverletzungen und Datenpannen sichten. Und diese werden in erster Linie eingereicht von Mitarbeitern und Kunden dieser Unternehmen. Dieser Personenkreis weiß um die ‚Leichen im Keller' oder aber auch um Datenpannen, die eventuell fahrlässig oder weniger fahrlässig ausgelöst werden.

Jede Firma, die über eine Webseite Geschäft generiert, tut gut daran, ihre Online Darstellungen und Dienstleistungen nun noch einmal zu prüfen. Haben ‚meine' Newsletter-Empfänger wirklich alle ihre Zustimmung mit Doppel-Opt In gegeben? Betreibe ich ein rechtssicheres CRM? Geben die hmtl Banner nur die Klickrate an Dritte weiter oder werden persönlich relevante Daten der Kunden weiter gegeben? Verstöße können nach unteren Rechenmustern in Zukunft mit empfindlichen Geldbußen belegt werden.

Ganz schlimm weiterhin - Facebook! Der Skandal um Cambridge Analytica wurde mit der Rekordstrafe von 5 Milliarden Dollar belegt. Jeder, der eine Facebook Fanpage betreibt, muss sich ich im Klaren sein, das Facebook Daten abschöpft. Und auch hier ist Rechtsanwalt Peter Hense sehr deutlich: Mitgefangen, mitgefangen!

Sind wir wirklich alle gleich vor dem Gesetz?

Leider nein. Der Föderalismus, nach dem Krieg in Deutschland von den Siegermächten installiert, hat sicher seine Vorteile gegenüber dem Zentralismus wie etwa in Frankreich. Doch er hat auch seine Nachteile. So werden in einigen Datenschutzaufsichtsbehörden der Länder bei leichten Verstößen noch Rügen ohne Bußgeld verteilt, da ereilt dem Missetäter in Sachsen schon die ganze Härte anwendbarer Geldbußen. In allen Bundesländern aber gilt: Wer in Zukunft auf Rügen nicht reagiert, an dem wird der Bußgeldkatalog vollzogen.

DSGVO Bußgeld Höhe

Gemäß dem neuen Bußgeldkatalog werden die Strafen gemäß II. Bußgeldkatalog durch 5 Parameter beeinflusst. Danach wird

1. das jeweilige Unternehmen einer Größenklasse zugeordnet
2. der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt
3. ein wirtschaftlicher Grundwert ermittelt
4. Aus der ‚Tatschwere' wird ein Faktor ermittelt und mit dem Grundwert multipliziert
5. Das Ergebnis kann ‚Täter bezogen' angepasst werden

Schon die Begrifflichkeiten zeigen auf, dass die Zeiten, als Datenschutzmängel noch als Kavaliersdelikt angesehen wurden, endgültig vorbei sind. Aber eine transparente und Einzelfall gesteuerte Form der Bußgeldbemessung soll Gleichbehandlung ermöglichen - so eine Erklärung im Katalog des Bußgeldbemessungsverfahrens.

Beispiel der Berechnung einer DSGVO Bußgeld Höhe für kleinste Firmen

Annahme: Der ‚Täter' ist ein sogenanntes Kleinstunternehmen. Die Größeneinordnung der KMU orientiert sich hinsichtlich des Vorjahresumsatzes grundsätzlich an der Empfehlung der Kommission vom 6. Mai 2003 (2003/361/EG). Danach sind Firmen mit einem Jahresumsatz bis 700.000 € der Gruppe A1 zuzuordnen. Danach wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, bestimmt (siehe Tabelle 2 im Katalog). Dieses dient der darauf aufbauenden Ermittlung des wirtschaftlichen Grundwertes (siehe 3.).

Für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und so ein durchschnittlicher und aufgerundeter Tagessatz errechnet.

Dem Jahresumsatz von z.B. 350.000 € wird ein Grundwert von 972 € zugeordnet. Danach erfolgt gemäß Punkt 4 anhand der konkreten Tat bezogenen Umstände des Einzelfalls (vgl. Art. 83 Abs. 2 Satz 2 DSGVO) eine Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer:

und zwar mit einem Multiplikationsfaktor bei leichten bis sehr schweren Verstößen von 1 bis 6 für formelle Verstöße gemäß Art. 83 Abs. 4 DSGVO
und einem Multiplikationsfaktor von 1 bis 12 für materielle Verstöße gemäß § 83 Abs. 5, 6.

Man kann also ausrechnen, dass falsche Datenschutzausweisungen von kleinsten Firmen (< 350.000 € Jahresumsatz) bei einem leichten, formellen Verstoß, Faktor 1 x 972 € = 972 € kosten können, während der unautorisierte Versand eines Newsletters mit vielen ‚Geschädigten' bei einem schweren Fall und einem materiellen Schaden 7.776 € kosten könnte, da hierbei mindestens der Multiplikator 8 bei einem Grundwert von 972 € anzusetzen ist.

Beispiel einer DSGVO Bußgeld Höhe für kleine Firmen wie Hotels ab 2 Mio. € Jahresumsatz

Nach gleichem Muster errechnen sich auch die Bußgelder kleiner Firmen wie Hotels mit einem Jahresumsatz über 2 Mio. € bis 10 Mio. €. Bei Datenverstößen und Jahresumsätzen ab 3,5 Mio. € muss mit Bußgeldern ab 9.722 € (leichter formeller Schaden, Faktor 1) bis 291.672 € (schwerster materieller Schaden, Faktor 12) gerechnet werden.

'Gnade' bei drohender Zahlungsunfähigkeit

Die Beträge können bei einer drohenden Insolvenz des Unternehmens angepasst werden, wenn alle für und gegen den Betroffenen sprechenden Umstände dafür sprechen.

Fazit

Jeder Unternehmer mit seine Webseite auf den Prüfstand stellen und am besten mögliche Schadens- und Anklageszenerien durchspielen. Dabei muss geprüft werden, ob z.B. alle Nachweise geführt werden können wie z.B. Datennachweise und Logins von Newsletter-Empfängern mit Datum in entsprechend sicheren Datenbänken. Solche Nachweise müssen auf Nachfrage der Datenschutzaufsichtsbehörden erbracht werden können.

Bei steigenden Mindestlöhnen und weiteren bürokratischen Erfordernissen werden durch diese Anforderungen weitere Kleinstfirmen aufgeben. Die Gewerkschaften und Verbände werden dies als Marktbereinigung begreifen. Doch es bringt auch neue Gefahren, denn gerade die Kleinstfirmen mit 1-3 Angestellten sind und waren in schlechten Zeiten immer ein Garant von lokaler Beschäftigung.

Tipps für rechtssicheres Betreiben einer Webpage

Auftragsdatenverarbeitung richtig betreiben
CRM Info
https://dsgvo-gesetz.de/
Log-In für Kunden oder Newsletter-Empfang mit Doppel Opt in organisiert?
Statt html Codes nur Links in die Seite einbauen

Tags: DS-GVO

Andere Presseberichte

Passwort Admin knackt Zugang des Hotel Login via PMS
10.01.2019
DSGVO in der Hotellerie
11.06.2018