· 

Strafbemessung in der DSGVO

Der Strafrahmen bei einer Geldbuße nach der Datenschutz-Grundverordnung (DSGVO) beträgt maximal bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes. Es gibt jedoch einzelne Delikte (etwa die regelwidrige Nichtbestellung eines Datenschutzbeauftragten), bei denen der Strafrahmen halb so hoch ist, also 10 Millionen Euro oder 2 % des weltweiten Umsatzes.

 

Darüber hinaus muss die Höhe der Geldstrafe von den Behörden dem Einzelfall entsprechend ange­passt werden. Dabei nennt die DSGVO mehrere Aspekte, die berücksichtigt werden müssen.

 

In erster Linie ist auf die tatsächliche Art, Schwere und Dauer des konkreten Verstoßes abzustellen. Dabei wird berücksichtigt, um was für einen Verarbeitungsvorgang und welche Arten von personen­bezogenen Daten es sich handelt, wie viele Personen betroffen sind und wie hoch der erlittene Schaden ist.

 

Darüber hinaus wird auch berücksichtigt, ob der Unternehmer Maßnahmen getroffen hat, um den bereits entstandenen Schaden zu mindern. Auch die Zusammenarbeit mit den Behörden, inklusive der rechtzeitigen Benachrichtigung, spielt in die Strafbemessung hinein.

 

Auch die „Vorgeschichte“ des Verstoßes wird im Auge behalten. Dazu zählen etwaige einschlägige frühere Verstöße des Unternehmers und ob (präventiv) angemessene technische und organisatorischen Maßnahmen getroffen wurden. Auch die Einhaltung von genehmigten Verfahrensregeln („codes of conduct“), Zertifizierungsverfahren oder allfälligen Weisungen, Verboten und/oder Anordnungen der Behörden bezüglich desselben Gegenstandes werden miteinberechnet.

 

Schließlich sind auch jegliche anderen erschwerende oder mildernde Umstände zu beachten, etwa finanzielle Vorteile des Unternehmers, die im Zusammenhang mit dem Verstoß stehen. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so ist auch das allgemeine Einkommensniveau in Österreich und die wirtschaftlichen Lage der Person zu berücksichtigen.

 

Die europaweit einheitliche Festsetzung von Geldbußen nach der DSGVO soll durch Richtlinien gesichert werden, welche durch den Europäischen Datenschutzausschuss ausgearbeitet werden.

RA Dr. Gerald Mair
RA Dr. Gerald Mair

Über den Autor:

Dr. Gerald Mair ist Gründungspartner der Kanzlei PENDL MAIR in Wien. Die Kanzlei ist spezialisiert auf Marken-, Urheber- und IT- und Datenschutzrecht. Er beschäftigt sich schon seit langem mit der DSGVO Neu und gilt in Fachkreisen als Kenner dieses Spezialgebietes.