Uncategorized

DSGVO Bußgeldkatalog: So berechnen Behörden die Höhe von Datenschutz-Bußgeldern

| Schmidt thorsten
📁 Dieser Beitrag wurde 2019 veröffentlicht. Einige Informationen könnten nicht mehr aktuell sein.
DSGVO Bußgeldkatalog: So berechnen Behörden die Höhe von Datenschutz-Bußgeldern – datenschutzeinfach.com
📋

Archiv-Beitrag (2019)

Dieser Artikel ist 7 Jahre alt. Rechtliche Grundlagen und technische Anforderungen können sich seitdem geändert haben.
Für aktuelle Informationen besuchen Sie unseren Shop oder
die TSMONDO Software-Übersicht.

🛡️
IT-Security Software & Beratung

Professionelle Compliance-Tools und Beratung von TSMONDO: ISO 27001, NIS2, DSGVO, BCM — mandanten­fähig, auf deutschen Servern.

Alle Tools ansehen → ab 99 €/Monat

DSGVO Bußgelder: So berechnen die Aufsichtsbehörden die Höhe

Viele Unternehmer fragen sich: Was kostet ein Verstoß gegen die DSGVO wirklich? Die Antwort ist seit der Veroeffentlichung des offiziellen Bußgeldkatalogs der Datenschutzkonferenz (DSK) deutlich klarer geworden. Die deutschen Aufsichtsbehörden haben ein einheitliches 5-Schritte-Modell entwickelt, mit dem sie die Höhe von DSGVO-Bußgeldern berechnen. In diesem Artikel erklären wir das Verfahren verständlich und zeigen, was es für Ihr Unternehmen bedeutet.

Warum gibt es einen Bußgeldkatalog?

Bis zur Einführung des Berechnungsmodells war die Höhe von DSGVO-Bußgeldern kaum vorhersehbar. Unternehmen wussten nicht, ob sie mit Hunderten oder Hunderttausenden Euro rechnen mussten. Die Datenschutzkonferenz (DSK) – das Gremium aller deutschen Aufsichtsbehörden – hat deshalb ein transparentes Berechnungsmodell entwickelt, das sich am Umsatz des Unternehmens orientiert.

Das Ziel: Gleichbehandlung aller Unternehmen, unabhängig vom Bundesland. Ob die Aufsichtsbehörde in Bayern, NRW oder Hamburg zuständig ist – das Bußgeld wird nach dem gleichen Schema berechnet.

Das 5-Schritte-Modell zur Bußgeldberechnung

Schritt 1: Einordnung in eine Groessenklasse

Zunaechst wird Ihr Unternehmen anhand des weltweiten Jahresumsatzes in eine Groessenklasse eingeordnet. Die DSK unterscheidet vier Hauptgruppen:

Gruppe Bezeichnung Jahresumsatz
A Kleinstunternehmen bis 2 Mio. €
B Kleine Unternehmen 2 bis 10 Mio. €
C Mittlere Unternehmen 10 bis 50 Mio. €
D Grossunternehmen über 50 Mio. €

Jede Gruppe wird nochmals in Untergruppen unterteilt. Ein Kleinstunternehmen (Gruppe A) mit einem Jahresumsatz von bis zu 700.000 € faellt beispielsweise in die Untergruppe A.I.

Schritt 2: Mittlerer Jahresumsatz bestimmen

Für jede Untergruppe wird ein mittlerer Jahresumsatz festgelegt. Dieser Wert dient als Berechnungsgrundlage:

Untergruppe Umsatzspanne Mittlerer Jahresumsatz
A.I bis 700.000 € 350.000 €
A.II 700.000 bis 1,4 Mio. € 1.050.000 €
A.III 1,4 bis 2 Mio. € 1.700.000 €

Schritt 3: Wirtschaftlicher Grundwert (Tagessatz)

Aus dem mittleren Jahresumsatz wird ein Tagessatz berechnet (Jahresumsatz geteilt durch 360). Dieser Tagessatz ist die Basiseinheit für die Bußgeldberechnung:

Untergruppe Tagessatz
A.I (Kleinstunternehmen) 972 €
A.II 2.917 €
A.III 4.722 €

Das bedeutet: Selbst das kleinste Unternehmen in Gruppe A.I hat einen Tagessatz von fast 1.000 €. Und das ist nur der Ausgangswert – der im naechsten Schritt vervielfacht wird.

Schritt 4: Schweregrad-Multiplikator

Der Tagessatz wird nun mit einem Faktor multipliziert, der den Schweregrad des Verstoßes widerspiegelt. Die DSK unterscheidet verschiedene Schweregrade:

Schweregrad Faktor Beispiel A.I (972 € Tagessatz)
Leicht 1 – 2 972 – 1.944 €
Mittel 2 – 4 1.944 – 3.888 €
Schwer 4 – 8 3.888 – 7.776 €
Sehr schwer 8 – 12 7.776 – 11.664 €
Ausserordentlich schwer ab 12 ab 11.664 €

Typische leichte Verstöße: fehlendes Verarbeitungsverzeichnis, unvollständige Datenschutzerklärung. Schwere Verstöße: fehlende Einwilligung bei Werbung, ungesicherte Datenübertragung. Sehr schwere Verstöße: systematischer Handel mit Daten, absichtliche Verschleierung von Datenpannen.

Schritt 5: Individuelle Anpassung

Im letzten Schritt kann die Aufsichtsbehörde das berechnete Bußgeld noch nach oben oder unten anpassen. Dabei werden beruecksichtigt:

Bußgeldmindernd
Freiwillige Kooperation mit der Behörde, schnelle Behebung des Verstoßes, erstmaliger Verstoß, nachgewiesene Datenschutz-Maßnahmen, geringe Zahl betroffener Personen
Bußgelderhoeend
Wiederholte Verstöße, vorsaetzliches Handeln, mangelhafte Kooperation, hohe Zahl betroffener Personen, besonders sensible Daten (Gesundheit, Religion)

Konkretes Rechenbeispiel

Ein Handwerksbetrieb mit 500.000 € Jahresumsatz (Gruppe A.I) hat kein Verarbeitungsverzeichnis gefuehrt und keine Datenschutzerklärung auf seiner Webseite:

Untergruppe: A.I (Tagessatz: 972 €)

Verstoß: Fehlendes Verarbeitungsverzeichnis + fehlende Datenschutzerklärung

Schweregrad: Leicht bis mittel (Faktor 2)

Berechnung: 972 € × 2 = 1.944 €

Nach Anpassung: Bei Erstversoss und Kooperationsbereitschaft möglicherweise Reduktion auf ca. 1.500 €

Zum Vergleich: Ein mittelstaendisches Unternehmen mit 25 Mio. € Umsatz (Gruppe C) wuerde für den gleichen Verstoß schnell einen fuenfstelligen Betrag zahlen.

Die häufigsten DSGVO-Verstöße in Deutschland

Laut den Tätigkeitsberichten der Aufsichtsbehörden sind die häufigsten Gruende für Bußgelder:

1.

Fehlende oder unvollständige Datenschutzerklärung auf der Webseite – betrifft fast jedes zweite Unternehmen
2.

Kein Verarbeitungsverzeichnis nach Art. 30 DSGVO – Pflicht für jedes Unternehmen
3.

Fehlende Auftragsverarbeitungsverträge mit Cloud-Diensten, Newsletter-Tools oder IT-Dienstleistern
4.

Unzureichende technisch-organisatorische Maßnahmen (TOMs) – z.B. keine Verschluesselung, schwache Passwoerter
5.

Verspätete Meldung von Datenpannen – die 72-Stunden-Frist nach Art. 33 DSGVO wird oft versaeumt

So schützen Sie sich vor DSGVO-Bußgeldern

Die gute Nachricht: Fast alle häufigen Verstöße lassen sich mit ueberschaubarem Aufwand vermeiden. Die Aufsichtsbehörden beruecksichtigen ausdruecklich, ob ein Unternehmen erkennbare Bemühungen zum Datenschutz unternommen hat. Ein dokumentiertes Datenschutzkonzept kann im Ernstfall den Unterschied zwischen einem hohen Bußgeld und einer blossen Verwarnung ausmachen.

Die wichtigsten Maßnahmen:

Verarbeitungsverzeichnis fuehren – Dokumentieren Sie alle Verarbeitungstätigkeiten nach Art. 30 DSGVO

Datenschutzerklärung aktualisieren – Vollständig, korrekt und auf dem neuesten Stand

TOMs dokumentieren – Technische und organisatorische Maßnahmen nachweisbar festhalten

Mitarbeiter schulen – Regelmäßige Datenschutz-Schulungen durchführen und dokumentieren

Datenpannen-Prozess einrichten – Damit Sie im Ernstfall die 72-Stunden-Frist einhalten können

DSGVO-Bußgelder vermeiden – mit der richtigen Software

Unsere Datenschutz-Software hilft Ihnen, alle Pflichten systematisch zu erfuellen und nachzuweisen.

Zum Shop →

Weiterführende Themen zum Datenschutz

Verarbeitungsverzeichnis DSGVO →

Ein fehlendes Verarbeitungsverzeichnis ist einer der häufigsten Gruende für DSGVO-Bußgelder.


TOMs nach DSGVO →

Unzureichende technische und organisatorische Maßnahmen können empfindliche Strafen nach sich ziehen.


Datenschutzkonzept →

Ein lueckenloses Datenschutzkonzept ist der beste Schutz vor Bußgeldern.


DSGVO Checkliste →

Prüfen Sie mit unserer DSGVO-Checkliste, ob Sie alle Anforderungen erfuellen und Bußgelder vermeiden.


ISO 27001 Zertifizierung →

Eine ISO 27001 Zertifizierung kann das Bußgeldrisiko erheblich reduzieren.

📦 Passende Produkte & Lösungen

Weitere Beiträge zum Thema

20. Oktober 2018 Klingelschilder vs DSGVO 1:0 16. Oktober 2018 Airbags sammeln Verhaltensdaten 27. Oktober 2018 Landesdatenschutz scannt Webseiten

Compliance-Software für Ihr Unternehmen

DSGVO, ISO 27001, NIS2 — alles in einer Plattform.

Zum Shop →
Von TSMONDO

IT-Security Software & Beratung

NIS2, ISO 27001, DSGVO, BCM — mandanten­fähige SaaS-Tools und professionelle Beratung.

🔐
ISO 27001
🛡️
Datenschutz
🏛️
NIS2
BCM
Software ansehen → Beratung anfragen