DSGVO Bußgeldrechner - mögliche Datenschutz-Strafen berechnen

Aktualisiert am von Stefan Banse

Welche Strafen gibt es bei Datenschutzverletzungen? Der DSGVO-Bußgeldrechner berechnet das Bußgeld für alle Verstöße gegen die DSGVO je nach Art und Schweregrad des Vergehens und abhängig vom Umsatz des Unternehmens.

Werbung

Unsere Themen rund um DSGVO-Bußgelder

Was ist die Grundlage für die Berechnung des DSVGO Bußgeldes?

Die Berechnungen des DSGVO-Bußgelrechners erfolgen anhand des Bußgeldkonzepts der unabhängigen Daten­auf­sichts­behörden des Bundes und der Länder (DSK) vom 14.10.2019. Dieses Konzept betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung, also der DSGVO. Es findet insbesondere keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Das Bußgeldkonzept ist ebenso weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Zudem entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte. Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder können jederzeit eine Aufhebung, Änderung oder Erweiterung ihres Konzepts mit Wirkung für die Zukunft beschließen. Das Bußgeldkonzept verliert zudem seine Gültigkeit, sobald der EDSA seine abschließenden Leitlinien zur Methodik der Festsetzung von Geldbußen erlassen hat.

Eingabehilfen zum DSGVO-Bußgeld-Rechner

Wie oben beschrieben, basiert der DSGVO Bußgeldrechner auf dem Bußgeldkonzept der DSK. Im folgenden erhalten Sie Hilfestellungen zur korrekten Auswahl der einzelnen Eingabefelder des Rechners.

Wie hoch war der Vorjahresumsatz?

Wählen Sie bitte den Vorjahresumsatz des betroffenen Unternehmens in Euro aus. Anhand des Umsatzes wird das Unternehmen einer bestimmten Größenklasse zugeordnet. Der mittlere Jahresumsatz dieser Größenklasse wird durch 360 geteilt und auf ganze Euro gerundet. Dieser Tagessatz bildet den wirtschaftlichen Grundwert des betroffenen Unternehmens. Dieser wirtschaftliche Grundwert wird für die Bußgeldberechnung schließlich mit einem von der Art des Verstoßes und dessen Schweregrad abhängigen Faktor multipliziert.

War der Umsatz größer als 500 Millionen?

Fall der er ausgewählte Vorjahresumsatz über 500 Millionen Euro liegt, geben Sie bitte in dem sich dann öffnenden Eingabefeld den konkreten Vorjahresumsatz des betroffenen Unternehmens in Millionen Euro an. Ab einem jährlichen Umsatz von über 500 Millionen Euro ist der prozentuale Bußgeldrahmen von 2 Prozent bzw. 4 Prozent des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, sodass eine Berechnung anhand des konkreten Umsatzes erfolgt. Die Höhe des Bußgeldes ist dann unabhängig von der Art und Schwere des Verstoßes.

Welche Art hat der Verstoß gegen die DSGVO?

Geben Sie bitte die Art des potenziellen Verstoßes an. Die DSGVO unterscheidet zwischen formellen und materiellen Verstößen.

  • Zu den formellen Verstößen gehören alle in Art. 83 Abs. 4 DSGVO genannten Verstöße, also z.B. Verstöße bei der Auftragsverarbeitung sowie Verstöße gegen gewisse Zertifizierungspflichten.
  • Zu den materiellen Verstößen gehören alle in Art. 83 Abs. 5 und 6 DSGVO genannten Verstöße, also z.B. eine unrechtmäßige Datenverarbeitung oder Verstöße gegen die Bedingungen der Einwilligung.

Beide Arten beeinflussen im Zusammmenhang mit dem Schweregrad die Höhe des Multiplikationsfaktors zur Berechnung des Bußgeldes. Bei materiellen Verstößen wird dabei gegenüber formellen Verstößen ein höherer Faktor angesetzt.

Was sind formelle DSGVO Verstöße?

Zu den formellen Verstößen gegen die DSGVO zählen:

  • Fehlende oder unzureichende Auftragsverarbeitung
  • Fehlendes Verzeichnis der Verarbeitungstätigkeiten
  • Unzureichende Datensicherung
  • Unzureichende Zusammenarbeit mit der Aufsichtsbehörde
  • Nichtbeachtung der Altersgrenzen von Kindern bei Verarbeitung personenbezogener Daten
  • Fehlende oder unzureichende technische und organisatorische Maßnahmen (TOMs) zur Gewährleistung der Informationssicherheit
  • Fehlendes oder unzureichendes Nachkommen der Meldepflichten bei Datenverletzungen (an Aufsichtsbehörde und an die betroffene Person)
  • Fehlende oder unzureichende Datenschutz-Folgenabschätzung
  • Fehlender Datenschutzbeauftragter
  • Verstöße gegen bestimmte Zertifizierungspflichten

Je nach Schweregrad werden hier Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Vorjahresumsatzes verhängt, je nachdem, welcher der Beträge höher ist.

Was sind materielle DSGVO Verstöße?

Zu den materiellen Verstößen gegen die DSGVO zählen:

  • Verstoß gegen die Grundsätze für die Datenverarbeitung, einschließlich der Bedingungen für die Einwilligung (z.B. Werbe-Email ohne Einwilligung)
  • Missachtung der Rechte betroffener Personen (z.B. Recht auf Information (u.a. deutsche Datenschutzerklärung), Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch)
  • Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49 (z.B. Transfer von Sozialdaten an "nicht sichere" Drittstaaten).
  • Nichteinhaltung von Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX (Besondere Verarbeitungssituationen) erlassen wurden.
  • Nichteinhaltung von durch die Aufsichtsbehörde angeordneter Maßnahmen.

Je nach Schweregrad werden hier Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Vorjahresumsatzes verhängt, je nachdem, welcher der Beträge höher ist.

Welchen Schweregrad hat der Datenschutz Verstoß?

Geben Sie bitte die Schwere des Verstoßes an. Der Schweregrad der Tat wird in Leicht, Mittel, Schwer und Sehr schwer unterteilt. Die Einteilung des Schweregrades in die vier Kategorien ist dabei anhand des Kriterienkatalogs aus Art. 83 Abs. 2 DSGVO vorzunehmen. Dort wird etwa die Art, Schwere und Dauer des Verstoßes sowie der Verschuldensgrad (fahrlässig oder vorsätzlich) berücksichtigt. Zusammen mit der Art des Verstoßes (formell oder materiell) beeinflusst der Schweregrad dann die Höhe des Multiplikationsfaktors zur Berechnung des Bußgeldes.

Grob kann die Einordnung folgendermaßen angenommen werden:

Was ist ein leichter DSGVO Verstoß?

  • Den betroffenen Personen drohen nur geringfügige Nachteile
  • Die Zahl der Betroffenen ist gering
  • Maßnahmen zur Schadensminderung bei den Betroffenen wurden eingeleitet
  • Es gab noch keinen Datenschutzvorfall

Beispiele für leichte Verstöße

  • Unerlaubter Versand von Werbemails
  • Nur leicht verspätete Beantwortung einer Betroffenenanfrage
  • Verwendung eines unverschlüsselten Kontaktformulars auf Webseite

Was ist ein mittlerer DSGVO Verstoß?

  • Den Betroffenen drohen spürbare Nachteile
  • Wichtige Informations- oder Dokumentationspflichten werden nicht eingehalten
  • Die Anzahl der Verstöße hält sich in Grenzen

Beispiele für mittlere Verstöße

  • Fehlende Datenschutzerklärung auf Webseite
  • Fehlende Auftrags­­verarbeitungs­­verträge
  • Fehlendes Verarbeitungs­verzeichnis

Was ist ein schwerer DSGVO Verstoß?

  • Den Betroffenen drohen schwere Folgen
  • Es wird gegen zentrale Datenschutzvorschriften verstoßen
  • Die Zahl der betroffenen Personen ist hoch
  • Das Ausmaß der Schäden ist hoch
  • Es gab bereits viele vorherige Verstöße
  • Verstöße wurden vorsätzlich begangen

Beispiele für schwere Verstöße

  • Unerlaubte Überwachung von Mitarbeitern (z.B. Videokamera)
  • Illegaler Handel mit Kundenadressen

Was ist ein sehr schwerer DSGVO Verstoß?

  • Den Betroffenen drohen schwerwiegende, existenz­bedrohende nachteilige Auswirkungen
  • Die Zahl der betroffenen Personen ist sehr hoch
  • Das Ausmaß der Schäden ist sehr hoch
  • Die Tathandlung verstößt gegen zentrale Datenschutzvorschriften und ist moralisch besonders verwerflich
  • Es gab bereits sehr viele vorherige Verstöße
  • Verstoß wird vorsätzlich begangen
  • Verstoß dauert schon lange an

Beispiele für sehr schwere Datenschutz Verstöße

  • Unerlaubter Handel mit Daten über die Gesundheit oder sexuelle Orientierung
  • Illegaler gewerblicher Handel mit personen­bezogenen Daten in großem Umfang
  • Unerlaubte Bekanntgabe von Informationen aus Zeugenschutz­programmen

Kriterienkatalog gem. Art. 83 Abs. 2 DSGVO

Anhand dieser Kriterien ist der Schweregrad des Verstoßes im einzelnen zu bewerten:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der Verarbeitung sowie der Zahl betroffener Personen und des Schadensausmaßes
  • Vorsätzlichkeit oder Fahrlässigkeit
  • Jegliche getroffene Maßnahmen zur Minderung des entstandenen Schadens
  • Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
  • Einschlägige frühere Verstöße
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
  • Einhaltung der früher gegen das Unternhmen in Bezug auf denselben Gegenstand angeordneten Maßnahmen
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
  • Jegliche anderen erschwerenden oder mildernden Umstände, wie durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Beispiel zur Berechnung des DSGVO Bußgeldes

Bei der Firma FooOpenData hat auf Ihrer Website vergessen, eine Datenschutzerklärung zu veröffentlichen und holt dies sofort nach. Trotzdem möchte die Geschäftsleitung wissen, wie hoch für diesen Verstoß gegen die DSGVO ein Bußgeld gewesen wäre.

  • Die Firma FooOpenData hatte im vergangenen Jahr einen Umsatz von 500.000 Euro.
  • Die fehlende Datenschutzerklärung ist ein materieller Verstoß . Denn gemäß DSGVO gilt dies als Missachtung der Rechte betroffener Personen, hier des Rechts auf Information.
  • Der Schweregrad dieses Verstoßes ist als mittel einzustufen. Denn mit der fehlenden Datenschutzerklärung wurden "Wichtige Informations- oder Dokumentationspflichten nicht eingehalten".

1. Kategorisierung der Unternehmensgröße

Anhand des angegebenen Umsatzes in Höhe von bis zu 0,7 Millionen Euro ist das Unternehmen FooOpenData eingestuft in die sogenannte Größenklasse A.I, welche für Umsätze oberhalb von 0,0 Millionen bis 0,7 Millionen Euro definiert ist.

2. Berechnung mittlerer Jahresumsatz

Der mittlere Jahresumsatz für die Größenklasse A.I beträgt (0,0 + 0,7) / 2, also 0,35 Millionen Euro.

3. Berechnung Wirtschaftlicher Grundwert

Für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Größenklasse A.I, also 0,35 Millionen Euro, durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet. Demnach beträgt der Wirtschaftliche Grundwert 972 Euro.

4. Multiplikation des Grundwerts nach Art und Schweregrad der Tat

Der gerade berechnete Tagessatz bzw. wirtschaftliche Grundwert wird abschließend mit einem Faktor multipliziert, um das Bußgeld zu bestimmen. Dieser Faktor ergibt sich aus der Art des Verstoßes und dem Schweregrad dieses Verstoßes. Folgende Tabelle gibt hierzu an, welcher Faktor bei welcher Konstellation von Art und Schwere des Verstoßes gilt.

Schweregrad
der Tat
Faktor für formelle VerstößeFaktor für materielle Verstöße
Leicht1 bis 21 bis 4
Mittel2 bis 44 bis 8
Schwer4 bis 68 bis 12
Sehr schwer6 und mehr12 und mehr

Mit der fehlenden Datenschutzerklärung, hat FooOpenData einen materiellen Verstoß mit mittlerem Schweregrad begangen. Demnach beträgt der Multiplikationsfaktor für FooOpenData 4 bis 8.

Somit beträgt das DSGVO-Bußgeld zwischen 3.888 Euro (4×972) und 7.776 Euro (8×972).

In der Praxis wird in einem 5. Schritt der unter 4. errechnete Betrag anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens. Dies ist für den Einzelfall zu prüfen und kann naturgemäß vom DSGVO Bußgeldrechner nicht bewertet werden.

Quellenangaben

Insbesondere die Informationen folgender Quellen haben wir für die Themenwelt "DSGVO Bußgeld" verwendet:

  • DSGVO Bußgeldkonzept der DSK (Datenschutzkonferenz - Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder)

Letzte Aktualisierung am 05.11.2021

Die Seiten der Themenwelt "DSGVO Bußgeld" wurden zuletzt am 05.11.2021 redaktionell überprüft durch Stefan Banse. Sie entsprechen alle dem aktuellen Stand.

Vorherige Änderungen am 08.01.2021

  • 08.01.2021: Veröffentlichung des DSGVO-Bußgeldrechners.
  • Redaktionelle Überarbeitung aller Texte in dieser Themenwelt
vgwort cd0f14ba750e4d258735b6187fd04450