Bisher war die Höhe der ausgesprochenen Strafen für Datenschutzverstöße schwer vorhersehbar und erschien mitunter willkürlich. Um für einen einheitlichen Rahmen und auch Rechtssicherheit für die betroffenen Unternehmen zu sorgen haben sich die deutschen Aufsichtsbehörden im Juni auf einen gemeinsamen Bußgeldkatalog geeinigt. Dass dieser Katalog zumindest faktisch eine Bindungswirkung entfaltet zeigt sich einerseits durch die fast einstimmige Verabschiedung (15 dafür, eine Enthaltung) andererseits auch durch die Tatsache, dass die Behörden bereits damit arbeiten. Die Höhe eines Bußgelds für eine Datenschutzverletzung ergibt sich nun sehr schematisch und nachvollziehbar aufgrund verschiedener Kriterien:

Wie die DSGVO selbst schon festlegt ist zuerst einmal der Umsatz des Unternehmens von entscheidender Bedeutung. Im weiteren Schritt muss auch der Schweregrad des Verstoßes (Dauer, Zahl der Betroffenen, Ausmaß des Schadens) und das Verschulden geklärt werden. Einen gehörigen Aufschlag auf diese Strafen gibt es hierbei für Wiederholungstäter. Sofern ein Verstoß mehr als 3x vorkommt, drohen Aufschläge bis zu 300%. Abschließend hängt es auch noch von der Zusammenarbeit und den getroffenen Maßnahmen zur Schadensminimierung ab.

Bisher waren die deutschen Behörden im europäischen Vergleich relativ milde in puncto Bußgelder. So beträgt die höchste in Deutschland erlassene Strafe nur EUR 200.000 und ist damit durchaus weit abgeschlagen von der bisherigen Höchststrafe im Ausmaß von EUR 50 Mio. in Frankreich. Mit dem neuen Bußgeldkatalog dürfte sich dies jedoch massiv ändern. Von der Berliner Datenschutzbehörde wird etwa derzeit ein Strafverfahren in Millionenhöhe vorbereitet. Wer einen groben Ausblick auf eine mögliche Strafe für sein Unternehmen testen möchte kann auf den Bußgeldsimulator von Werning zurückgreifen.