Das Damoklesschwert der Millionenbußen schien in Deutschland etwas abzustumpfen, als die ersten DSGVO-Bußgelder bekannt wurden: 20.000 EUR für einen mittelschweren Datensicherheitsverstoß waren doch sehr viel weniger als erwartet. Dies scheinen die deutschen Aufsichtsbehörden ändern zu wollen: Sie haben kürzlich ein konkretes Konzept zur Bußgeldbemessung veröffentlicht, dem eine gewisse Signalwirkung nicht abzusprechen ist. Ausgangsgröße ist ein Tagessatz in Höhe von 1/360 des Vorjahresumsatzes des Unternehmens. Dieser Grundbetrag kann, abhängig von vielfältigen Faktoren einschließlich des Schweregrades des Verstoßes, im Einzelfall erhöht oder gesenkt werden. Anschließend erfolgt eine Multiplikation des Wertes mit einem Faktor zwischen 1 und 14,4.
Aktuell ist die Tendenz zu beobachten, dass sich die Prüfungs- und Sanktionspraxis der Datenschutzbehörden auf die Einhaltung der Rechenschaftspflicht fokussiert. Unternehmen sollten daher klare organisatorische Regelungen, Strukturen und Prozesse personenbezogene Datenverarbeitung betreffend, sowie ein lückenloses Verarbeitungsverzeichnis vorweisen können. Dokumentationen, wie Datenschutz-Leitlinie und -Konzept, sollten auf aktuellem Stand; Mitarbeiter gezielt geschult und sensibilisiert sein.
Als Hilfestellung zur Selbstüberprüfung finden Sie das vom Bayerischen Landesamt für Datenaufsicht veröffentlichte Muster „Prüfkatalog Rechenschaftspflicht“ unter https://www.lda.bayern.de/media/pruefungen/201810_rechenschaftspflicht_fragebogen.pdf.