Die Datenschutzkonferenz hat im Oktober ihr achtseitiges DSGVO-Bußgeldkonzept veröffentlicht. Es soll nur auf Unternehmen bei nicht-grenzüberschreitenden Fällen angewandt werden und nicht auf Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Die Bußgeldfestsetzung erfolgt dabei in fünf Schritten:
1. Zuordnung des Unternehmens einer Größenklasse
2. Bestimmung des mittleren Jahresumsatzes der Untergruppe
3. Ermittlung eines wirtschaftlichen Grundwertes
4. Multiplikation des Grundwertes mit einem von der Schwere der Tatumstände abhängigen Faktor
5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger Umstände
Ob dieses Konzept auch zu verhältnismäßigen Geldbußen führen wird, ist fraglich. Denn ein großes Unternehmen erzielt automatisch einen höheren Grundwert, und die korrigierende Wirkung von Tat- und täterbezogenen Umständen bleibt unklar.
