Die europäische Datenschutz-Grundverordnung sieht einen Bußgeldrahmen von bis 20 Mio oder bis zu 4 % des Bruttoumsatzes des Vorjahres vor, je nachdem, welcher Betrag höher ist. Bislang sind die von den deutschen Datenschutzbehörden verhängten Geldbußen verhältnismäßig niedrig ausgefallen. Dies wird sich wohl bald ändern. Wie das Rechtsmagazin LTO berichtet, testen die Datenschutzbehörden von Bund und Ländern derzeit ein von der Datenschutzkonferenz (DSK) entwickeltes neues Bußgeldmodell zur Bußgeldbemessung. Momentan wird es bei Bußgeldverfahren begleitend herangezogen und auf seine Tauglichkeit in der Praxis sowie auf seine Zielgenauigkeit hin überprüft. Das Modell soll insbesondere zu einer höheren Nachvollziehbarkeit in der Bußgeldpraxis führen. Auf ihrer nächsten Konferenz im November will sich die DSK zu dem Konzept, welches sich derzeit im Entwurfsstatus befindet, weiter abstimmen. Wenngleich das Bußgeldkonzept noch nicht veröffentlich wurde, liegt es einigen Datenschutzanwälten zumindest in Teilen schon vor, weil es auch in den Begründungen von bereits verhängten Bußgeldbescheiden wiedergegeben ist. Dies ermöglicht eine belastbare Analyse. Fest steht, dass das neue Modell zu höheren Bußgeldern führen wird.
Bemessungsgrundlage zur Ermittlung des zu verhängenden Bußgeldes ist der weltweite Umsatz des Vorjahres. Hieraus wird zunächst ein „Tagessatz“ gebildet, indem der Vorjahresumsatz durch 360 dividiert wird. Dieser wird anschließend mit einem Faktor zwischen 1 und 14,4 multipliziert, abhängig vom Schweregrad des Verstoßes. Der Faktor mit dem Höchstwert von 14,4, der bei sehr schweren Verstößen zur Anwendung kommt, entspricht rechnerisch exakt den in Art. 83 Abs. 5 und Abs. 6 DS-GVO genannten vier Prozent des Vorjahresumsatzes. Für einen "durchschnittlichen" Verstoß dieser Art fällt also bereits in dieser Berechnungsphase bei umsatzstarken Unternehmen ein Bußgeld in Höhe von knapp zwei Prozent des Umsatzes an. Der Schwergrad ergibt sich aus einem Punktesystem, das u.a. die Dauer des Verstoßes, die Anzahl der Betroffenen, das Schadensausmaß sowie den Verschuldensgrad berücksichtigt. So verringert sich das Bußgeld um 25 %, wenn bei leichter Fahrlässigkeit und erhöht sich bei grober Fahrlässigkeit um 25 % oder 50 %. Des Weiteren wirkt es sich strafschärfend auf das Bußgeld aus, wenn der Verantwortliche in der Vergangenheit bereits durch Datenschutzverstöße in Erscheinung getreten ist: So bewirkt ein erneuter Verstoß eine Erhöhung um 50%, zwei erneute Verstöße eine Erhöhung um 150 % und drei oder mehr eine Erhöhung um 300 %. Die in der DSGVO genannten vier Prozent des Umsatzes können dann die ansonsten geltende Obergrenze von 20 Millionen Euro noch deutlich übersteigen. Das neue Bußgeldmodell soll insofern bewirken, dass insbesondere Unternehmen mit mehr als 500 Mio. Umsatz Bußgeldstrafen für Datenschutzverstöße nicht mehr leichtfertig „einpreisen“.