Allgemein Cookies

Cookies zum Preis von bis zu 20 Millionen Euro

Bereits seit 2019 Abmahngefährdet

Der Europäische Gerichtshof hat bereits am 1. Oktober 2019 entschieden, dass das Setzen von Cookies die aktive Einwilligung des Internetnutzers erfordert. Ein voreingestelltes Ankreuzkästchen genügt daher nicht (EuGH, Urteil in der Rechtssache C-673/17 – Bundesverband der Verbraucherzentralen / Planet49 GmbH). (Vereinfachte Pressemitteilung)
Dennoch verfügen die meisten Unternehmen über Seiten, welche nicht DSGVO-konform sind.
Welchen Kosten sich diese Unternehmen damit aussetzen ist oftmals unbekannt. Folgend grenzen wir Unternehmenbezogen ab, mit welchen Strafen gerechnet werden muss.

So teuer sind jetzt DSGVO-Bußgelder

Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – So teuer können Bußgelder werden, wenn Sie mit Ihrer Internetseite gegen die Datenschutzgrundverordnung verstoßen.
Bisher ließen sich lediglich ungefähre Richtwerte anhand von beretis verhängten Bußgeldern ableiten.
Die Datenschutzkonferenz (DSK), das Gremium der einzelnen Datenschutzbehörden, hat nun ein neues Konzept zur Bemessung der Abmahnugen veröffentlicht – mit was für Abmahnung Sie zu rechnen haben, lässt sich nun relativ klar abgrenzen.
Los geht es bei circa 972 Euro.

In 5 Schritten zum ungefähren Bußgeld

1. Größenklasse definieren

Im ersten Schritt muss das Unternehmen in eine vordefinierte Größenklasse eingeordnet werden. (siehe Tabelle 1.1)
Die Einordnung basiert auf dem weltweiten Vorjahresumsatz.
Unterteilt werden die Unternehmen in Kleinstunternehmen, kleine, mittlere und große Unternehmen (Klassen A, B, C und D). Hier gibt es jeweils noch drei bis sieben Untergruppen.

Tabelle 1.1

ABCD
Kleinstunternehmen
Jahresumsatz bis 2 Mio. €
Kleine Unternehmen
Jahresumsatz über 2 Mio. €
bis 10 Mio. €
Mittlere Unternehmen
Jahresumsatz über 10 Mio. bis 50 Mio. €
Großunternehmen
Jahresumsatz über 50 Mio. €
A.I Jahresumsatz bis 700.000€B.I Jahresumsatz über 2 Mio. € bis 5 Mio. €C.I Jahresumsatz über 10Mio. € bis 12,5 Mio. € D.I Jahresumsatz über 50 Mio. € bis 75 Mio. €
A.II Jahresumsatz über 700.000€ bis 1,4 Mio. €B.II Jahresumsatz über 5 Mio. € bis 7,5Mio. € C.II Jahresumsatz über 12,5 Mio. € bis 15Mio. € D.II Jahresumsatz über 75 Mio. € bis 100 Mio. €
A.III Jahresumsatz über 1,4 Mio. € bis 2 Mio. €B.II Jahresumsatz über 7,5 Mio. € bis 10 Mio. € C.III Jahresumsatz über 15 Mio. € bis 20Mio. € D.III Jahresumsatz über 100 Mio. € bis 200 Mio. €
C.IV
Jahresumsatz über 20 Mio. € bis 25 Mio. €
D.IV Jahresumsatz über 200 Mio. € bis 300 Mio. €
C.V
Jahresumsatz über 25 Mio. € bis 30Mio. €
D.V Jahresumsatz über 300 Mio. € bis 400 Mio. €
C.VI Jahresumsatz über 30 Mio. € bis 40Mio. € D.VI Jahresumsatz über 400 Mio. € bis 500 Mio. €
C .VII Jahresumsatz über 40 Mio. € bis 50Mio. € D.VII Jahresumsatz über 500 Mio. €

2. Jahresumsatz mitteln

Im zweiten Schritt muss der gemittelte Jahresumsatz der jeweiligen Gruppe bzw. Klasse bestimmt werden. Die genauen Werte des Unternehmens spielen hier keine Rolle.

Bsp.: Ihr Unternehmen hatte im vergangenen Jahr einen weltweiten Jahresumsatz von 845.355,82€. Somit fallen Sie in die Gruppe A.II.
Der gemittelte Jahresumsatz wird anhand der Gruppe auf 1.050.000€ festgelegt.

3. Festsetzung des wirtschaftlichen Grundwertes

Im dritten Schritt wird der wirtschaftliche Grundwert des Unternehmens festgestellt. Hierfür muss der aus Schritt 2 gemittelte Jahresumsatz durch 360 Tage geteilt werden. Bei der kleinsten Gruppe A.I läge der Tagesumsatz somit bereits bei 972 Euro.

4. Multiplikation des Grundwertes nach Schweregrad der Tat

Erst ab diesem Schritt werden die Umstände des Einzelfalls einbezogen. Nun wird anhand der Schwere der Tat und den konkreten tat bezogenen Umständen des Einzelfalls ein Faktor gewählt, mit welchem der Tagesumsatz zur Errechnung der Abmahngebühr multipliziert wird.
Wichtig sind hier: Art, Schwere und Dauer des Verstoßes, sowie auch die Art der Daten, hinsichtlich derer es ein Verstoß gab.

5. Bewertung des Einzelfalls

Zum Schluss wird der in Schritt 4 ermittelte Wert an den „Täter“ angepasst.
Folgend werden weitere Punkte zur Berechnung des konkreten Bußgeldes berücksichtigt, wie z.B.:
– Handelt es sich um einen vorsätzlichen oder fahrlässigen Verstoß?
– Wurden Maßnahmen getroffen, um etwaige Schäden zu minimieren?
– Wie verlief die Zusammenarbeit mit den Aufsichtsbehörden?
– Sind erschwerende oder mildernde Umstände zu berücksichtigen?
z.B.: eine drohende Zahlungsunfähigkeit

Beispiel: Ungefähre Kosten für Kleinstunternehmer
(Jahresumsatz bis 700.000 €)

Schwere der TatFormelle VerstößeMaterielle Verstöße
Leicht(Faktor 1 – 2)
972 € – 1.944 €
(Faktor 1 – 4)
972 € – 3.888 €
Mittel(Faktor 2 – 4)
1.944 € – 3.888 €
(Faktor 4 – 8)
3.888 € – 7.776 €
Schwer(Faktor 4 – 6)
3.888 € – 5.832 €
(Faktor 8 – 12)
7.776 € – 11.664 €
Sehr Schwer(Faktor > 6)
Ab 5.832 €
(Faktor > 12)
Ab 11.664 €
Wichtig zu Beachten: diese Rechnung erfolgte am Beispiel der kleinstmöglichen Größenklasse A.I

Beispiele für formelle Verstöße:

  • Keine geeigneten technischen und organisatorischen Maßnahmen zum Datenschutz getroffen
    z.B.: Keinen DSGVO-Konformen Cookie-Banner eingerichtet, keine Opt-out Möglichkeit (Bsp: Google Analytics)
  • Verstöße bei Auftragsverarbeitung
  • Fehlerhaftes Verzeichnis von Verarbeitungstätigkeiten
    – keine angepasste Datenschutzerklärung
  • Keine Schaffung eines angemessenen Schutzniveaus
    z.B.: Keine Verschlüsselung der Internetseite durch ein SSL-Zertifikat

Beispiele für materielle Verstöße:

  • Keine geeigneten technischen und organisatorischen Maßnahmen zum Datenschutz getroffen
    z.B.: Keinen DSGVO-Konformen Cookie-Banner eingerichtet (welcher die Cookiesetzung bei Ablehnung blockiert), keine Opt-out Möglichkeit (Bsp: Google Analytics)
  • Unrechtmäßige Verarbeitung von Daten sensibler Kategorien
    z.B.: Medizinische Informationen
  • Verstöße gegen die Rechte betroffener Personen
    z.B.: keine Antwort auf Auskunftsbitte
  • Unrechtmäßige Datenübermittlung an Drittländer
    z.B.: Google Analytics (USA), Facebook (USA)
  • Nichtbefolgung von Anweisungen durch Aufsichtsbehörden und weitere