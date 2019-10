Die Datenschutzbehörden von Bund und Ländern haben sich auf ein gemeinsames Konzept für die Bußgeldzumessung bei DSGVO-Verstößen verständigt. Es dient als Grundlage, um die Höhe der Bußgelder "nachvollziehbar, transparent und einzelfallgerecht" festzulegen. Demnach wird die Bußgeldhöhe anhand verschiedener Kriterien bestimmt.

Individuelle Bemessung

Zunächst ermitteln die Behörden die Größe des betroffenen Unternehmens. Danach werden der mittlere Jahresumsatz von Unternehmen vergleichbarer Größe sowie ein wirtschaftlicher Grundwert errechnet. Dieser wird dann mit einem Faktor multipliziert, der sich an der Schwere des Verstoßes orientiert. Der so ermittelte Wert kann dann noch angepasst werden, um besondere Umstände zu berücksichtigen – etwa eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit.

Hintergrund ist, dass die Aufsichtsbehörden im Europäischen Datenschutzausschuss zu einer europaweit einheitlichen Bußgeld-Regelung kommen wollen. Bis der Ausschuss die entsprechenden Leitlinien beschließt, werden die deutschen Aufsichtsbehörden sich an dem jetzt veröffentlichten Konzept orientieren. Bisher entschied jede Aufsichtsbehörde unabhängig über die Höhe der Bußgelder.

Bußgelder für Tracking

Bis jetzt haben sich die deutschen Datenschützer mit Bußgeldern in Fällen von Webseiten-Tracking zurückgehalten. Das soll sich jetzt ändern: Die Bayerische Datenschutzaufsicht kündigte an, die ersten Bußgeld-Bescheide gegen eine Reihe von Unternehmen zu erlassen. Anfang des Jahres hatte sie zahlreiche Webseiten von Unternehmen überprüft. Sie erwartet unter anderem, dass Webseiten-Besucher ihre Einwilligung zur Nutzung von Tracking-Techniken wie Google Analytics oder Google AdWords geben. Der Europäische Gerichtshof hatte kürzlich in seinem Cookie-Urteil (C-673/17) festgestellt, dass das Setzen von "technisch nicht notwendigen" Cookies einwilligungsbedürftig ist.

Zunehmend klarer wird nun auch, wie die europäischen Aufsichtsbehörden in Sachen Datenschutz-Folgenabschätzung vorgehen. Die deutschen Aufsichtsbehörden sperren sich bisher gegen Whitelists mit Datenverarbeitungen, für die Unternehmen keine Vorabprüfungen möglicher Datenschutzprobleme durchführen müssen. Doch einige europäische Kollegen sehen das anders: Nach den Aufsichtsbehörden in Belgien, Österreich und Spanien hat nun auch die einflussreiche französische Datenschutzbehörde CNIL eine solche Whitelist veröffentlicht.

Ausnahmen für Datenverarbeitungen

Die Liste umfasst zwölf Datenverarbeitungsvorgänge, für die eine Folgenabschätzung nicht notwendig ist. Dazu gehören beispielsweise Gehaltsabrechnungen und Arbeitszeiterfassungen, Zahlungsbelege erstellen, Mitgliedsbeiträge verwalten, aber auch die Verwaltung von Krankenakten. Sie ist nicht abschließend, stellt die CNIL klar, doch sie dient jetzt, nachdem Stellungnahmen des Europäischen Datenschutzausschuss eingearbeitet wurden, als Arbeitsgrundlage. (vbr)