Die deut­sche Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) hat am 25. Juni 2019 ein Kon­zept zur Berech­nung von Bus­sen nach Art. 83 DSGVO ver­ab­schie­det (vgl. das Pro­to­koll der ent­spre­chen­den Kon­fe­renz). 

Das Kon­zept berück­sich­tigt in einem kom­ple­xen Modell fol­gen­de Faktoren:

  • Umsatz: Basis der Berech­nung; ermit­telt wird hier ein sog. “Tages­satz”, für den der Umsatz durch 360 divi­diert wird. Dabei wird der Umsatz in Grö­ssen­klas­sen ein­ge­ord­net und inso­fern stu­fen­wei­se abstra­hiert statt kon­kret bestimmt. Inter­es­san­ter­wei­se lässt die DSK dabei offen, wel­cher bzw. wes­sen Umsatz mass­ge­bend ist; frü­her hat die DSK aber bereits mit­ge­teilt, dass sie es um den Umsatz des Kon­zerns geht, nicht des betrof­fe­nen ein­zel­nen Unter­neh­mens (was recht­lich Fol­ge­fra­gen auf­wirft und frag­lich ist). Jeden­falls kann der Umsatz geschätzt wer­den, wenn ihn die betrof­fe­nen Unter­neh­men nicht beziffern. 
      • Schwe­re des Ver­sto­sses: Im 2. Schritt wird die Schwe­re des Ver­sto­sses vor allem auf Basis des “Unrechts­ge­halts” bestimmt. Der Tages­satz wird dann mit einem Fak­tor mul­ti­pli­ziert, und zwar wie folgt: 
        • leicht: Fak­tor 1 – 4;
        • Mit­tel: Fak­tor 4 – 8;
        • Schwer: Fak­tor 8 – 12;
        • Sehr schwer: Fak­tor 12 oder mehr.
      • wei­te­re Modi­fi­ka­ti­on: Die Bus­se wird zuletzt nach wei­te­ren Kri­te­ri­en modifiziert: 
        • Dau­er des Verstosses
        • Art der Verarbeitung
        • Anzahl Betrof­fe­ner
        • Scha­dens­aus­mass
    • Die­se Fak­to­ren wir­ken jeweils bus­sen­min­dernd, neu­tral oder erhöhend.
    • Eine wei­te­re Modi­fi­ka­ti­on erfolgt anschlie­ssend nach den wei­te­ren Kri­te­ri­en von Art. 83 Abs. 2 DSGVO, d.h. etwa nach dem Ver­schul­dens­grad, Scha­den­min­de­rungs­mass­nah­men, frü­he­re Ver­stö­sse, Koope­ra­ti­on mit den Auf­sichts­be­hör­den usw.

    Im Ergeb­nis führt die­se Berech­nungs­wei­se zu deut­lich höhe­ren Bus­sen, als sie bis­her aus­ge­spro­chen wur­den. 

    Eine detail­lier­te Zusam­men­fas­sung mit Berech­nungs­bei­spie­len fin­det sich z.B. bei Lat­ham & Wat­kins.

AI-generierte Takeaways können falsch sein.