Die Datenschutzbehörden von Bund und Ländern haben sich auf ein gemeinsames Konzept für die Bußgeldzumessung bei Verstößen gegen die seit Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) geeinigt. Das Konzept sei eine Grundlage, um die Höhe der Bußgelder "nachvollziehbar, transparent und einzelfallgerecht" festzulegen, berichtet das Onlineportal "Heise". Demnach werde die Bußgeldhöhe anhand verschiedener Kriterien bestimmt.

Heise zufolge ermitteln die Behörden in einem ersten Schritt die Betriebsgröße des betroffenen Unternehmens. Danach werde der mittlere Jahresumsatz vergleichbarer Firmen sowie ein wirtschaftlicher Grundwert errechnet. Dieser werde dann mit einem Faktor multipliziert, der sich an der Schwere des Verstoßes orientiert. Der so ermittelte Wert kann dann noch angepasst werden, um besondere Umstände zu berücksichtigen – etwa eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit.

Hintergrund der Anstrengungen der Behörden ist laut dem Bericht, dass die europäischen Aufseher eine einheitliche Bußgeld-Regelung wollen. Bisher entschied jede Aufsichtsbehörde unabhängig über deren Höhe.

Bußgelder für Tracking
Das Portal berichtet weiter, dass sich die deutschen Datenschützer mit Bußgeldern in Fällen von Webseiten-Tracking bisher zurückgehalten haben. Das soll sich jetzt ändern: Die bayerische Datenschutzaufsicht habe angekündigt, die ersten Bescheide alsbald zu erlassen. Anfang des Jahres hatte sie zahlreiche Webseiten von Unternehmen überprüft. Sie schreibt laut Heise unter anderem vor, dass Webseiten-Besucher ihre Einwilligung zur Nutzung von Tracking-Techniken wie Google Analytics oder Google AdWords geben müssen. Der Europäische Gerichtshof hatte kürzlich in seinem Cookie-Urteil (C-673/17) festgestellt, dass das Setzen von "technisch nicht notwendigen" Cookies einwilligungsbedürftig ist.

Außerdem werde nun klarer bestimmt, wie die europäischen Aufsichtsbehörden in Sachen Datenschutz-Folgenabschätzung vorgehen. Die deutschen Aufsichtsbehörden sperren sich laut Heise bisher gegen sogenannte Whitelists mit Datenverarbeitungen, für die Unternehmen keine Vorabprüfungen möglicher Datenschutzprobleme durchführen müssen. Doch einige europäische Kollegen sehen das anders: Nach den Aufsichtsbehörden in Belgien, Österreich und Spanien hat nun auch die einflussreiche französische Datenschutzbehörde CNIL eine solche Whitelist veröffentlicht. (jb)