Neues zum Datenschutzrecht
20.5.2022
Berechnung von Bußgeldern – Leitlinien des EDSA (Entwurf)
Der Europäische Datenschutzausschuss (EDSA) hat am 16. Mai 2022 einen Entwurf seiner Leitlinien 04/2022 zur Bemessung von Bußgeldern unter der DSGVO veröffentlicht. Gegenstand dieser „Guidelines 04/2022 on the calculation of administrative fines under the GDPR“ ist eine Methode zur Bemessung von Bußgeldern, die eine EU-weite Vereinheitlichung der Verhängung von Geldbußen ermöglichen soll.
Das Modell des EDSA sieht fünf Schritte für die Bemessung von Bußgeldern vor.
Schritt 1
Zunächst wird festgestellt, ob es sich um einen oder mehrere zu sanktionierende Verstöße handelt. Daher steht bei mehreren Tathandlungen die Frage im Mittelpunkt, in welchem Verhältnis diese zueinander stehen und zu bewerten sind. Beispielsweise geht der EDSA von mehreren Taten aus, die aber in Tateinheit stehen, wenn ein Verantwortlicher verteilt über einem Tag Werbe-E-Mails an mehrere Gruppen betroffener Personen schickt, ohne hierfür eine Rechtsgrundlage zu haben. In diesem Fall soll wie bei unterschiedlichen Arten von Verstößen bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen eine Deckelung des Gesamtbetrags entsprechend Art. 83 Abs. 3 DSGVO erfolgen.
Schritt 2
Nach Ermittlung der zu sanktionierenden Verstöße und der Anwendbarkeit von Art. 83 Abs. 3 DSGVO soll der Bußgeldrahmen als Ausgangspunkt für die weitere Bemessung festgestellt werden. Hierbei werden mehrere Punkte berücksichtigt:
- Kategorie des Verstoßes gem. Art. 83 Abs. 4 einerseits oder Art. 83 Abs. 5 oder 6 DSGVO andererseits
- Schwere des Verstoßes in Hinblick auf Art. 83 Abs. 2 lit. a DSGVO; insofern sind folgende Kernpunkte konkret zu prüfen und zu berücksichtigen:
| >> Art, Schwere und Dauer des Verstoßes, wobei die Schwere des Verstoßes bestimmt wird durch die Art, des Umfangs und des Zwecks der Verarbeitung sowie die Zahl der von der Verarbeitung betroffenen Personen und das Ausmaß des verursachten Schadens |
>> Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) | |
>> Kategorien der personenbezogenen Daten, die von dem Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) Anhand der vorstehend genannten Kriterien erfolgt die Kategorisierung der Schwere des Verstoßes. Der Ausgangsbetrag für die weitere Bemessung des Bußgeldes soll für Verstöße von geringer Schwere auf einen Wert zwischen 0 und 10 % des gesetzlichen Höchstbetrags betragen, für Verstöße mittlerer Schwere zwischen 10 und 20 % und für schwerwiegende Verstöße zwischen 20 und 100 %. Wo genau sich der Wert in einer Kategorie bewegt, hängt letztlich wiederum von der Schwere des Verstoßes in dieser Kategorie ab. |
- Schließlich muss bei der Festlegung des Bußgeldrahmens als Ausgangspunkt ermittelt werden, wie hoch der vom Verantwortlichen bzw. Auftragsverarbeiter weltweit erzielte Jahresumsatz des vorangegangenen Geschäftsjahrs war. In Abhängigkeit vom Jahresumsatz soll von der Aufsichtsbehörde eine Korrektur des in den vorangegangenen Zwischenschritten ermittelten Ausgangswertes geprüft werden und zwar in Hinblick darauf, dass die Geldbuße gem. Art. 83 Abs. 1 DSGOV wirksam, abschreckend und verhältnismäßig sein muss. Der EDSA kategorisiert hierzu Umsätze, die nicht über 2, 10 oder 50 Mio. EUR bzw. 100, 250 oder 500 Mio. EUR liegen.
Schritt 3
In einem weiteren Schritt sind mit Blick auf das Verhalten des Verantwortlichen bzw. Auftragsverarbeiters erschwerende oder mildernde Umstände zu ermitteln, die das Bußgeld erhöhen oder mindern können. Hierzu zählen insbesondere das Verhalten des Verantwortlichen bzw. Auftragsverarbeiters, um den Schaden für die betroffenen Personen zu verringern, der Grad der Verantwortlichkeit für den Verstoß, bereits in der Vergangenheit erfolgte Datenschutzverstöße, aber auch die Kooperationsbereitschaft und Zusammenarbeit des Verantwortlichen bzw. Auftragsverarbeiters mit der Aufsicht bzgl. des Datenschutzverstoßes, die Art, wie der Verstoß der Aufsicht bekannt geworden ist sowie die Einhaltung von genehmigten Verhaltensregeln und Zertifizierung i.S.d. Art. 40 bzw. 42 DSGVO.
Schritt 4
Danach sind die rechtlich zulässigen Maximalbeträge zu ermitteln. Das sind je nachdem, welcher der Beträge höher ist: 10 bzw. 20 Mio. EUR oder im Fall eines Unternehmens bis zu 2 bzw. 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Diese Maximalbeträge deckeln den Bußgeldbetrag ungeachtet der in den Schritten zuvor ermittelte Erhöhungen.
Schritt 5
Schließlich ist im letzten Schritt zu prüfen, ob der konkret ermittelte Betrag den Anforderungen von Art. 83 Abs. 1 DSGVO gerecht wird, also die Geldbuße im konkreten Fall wirksam, abschreckend und verhältnismäßig ist, oder eine entsprechende Erhöhung bzw. Verringerung angezeigt ist.
Fazit
Das Konzept zur Bußgeldbemessung des EDSA unterscheidet sich von dem Berechnungsmodell der deutschen Datenschutzaufsichtsbehörden (zu diesem Berechnungsmodell s. Datenschutz-News v. 22.1.2020 und 18.10.2019).
Der EDSA betont, dass seine Methode zur Bußgeldbemessung keine mathematische Berechnungsformel enthalte und keine automatische Ermittlung von Bußgeldern ermögliche. Es kommt vielmehr immer auf alle Umstände des Einzelfalles an, die es im vorgegebenen Rahmen zu berücksichtigen gilt. Ohne Zahlen und Rechnen kommt das EDSA-Modell zwar auch nicht aus. Allerdings enthalten die Leitlinien in der Tat erheblich weniger Rechenformeln als das Berechnungsmodell der deutschen Aufsichtsbehörden. Das ermöglicht auf der einen Seite mehr Flexibilität, mindert aber auf der anderen Seite die „Berechenbarkeit“, sprich die Vorhersehbarkeit und wird damit die angestrebte Vereinheitlichung der Bußgeldbemessung wohl erschweren.
Letztlich wird aber die konkrete Anwendung in der Praxis zeigen, wohin die Reise geht. Festhalten lässt sich bereits jetzt, dass der EDSA den weiten Unternehmensbegriff anwendet und Konzerne bzw. Unternehmensgruppen auf diese Weise im Zweifel auch bei weniger gravierenden Verstößen mit relativ hohen Geldbußen konfrontiert werden.
Ausblick und Praxishinweis
Bei den EDSA-Leitlinien 04/2022 zur Bemessung von Bußgeldern handelt es sich um einen Entwurf. Der EDSA hat dazu aufgerufen, zu seinem Entwurf Stellung zu beziehen. Diese öffentliche Konsultation läuft bis zum 27. Juni 2022.
Bereits vor ihrer finalen Fassung geben die Leitlinien einen Vorgeschmack darauf, wie Bußgelder zukünftig bemessen werden. Zudem kann das Konzept bzw. das entsprechende Vorgehen bei der Bußgeldbemessung anhand der Fallbeispiele im Dokument relativ gut nachvollzogen werden.
Mit der Finalisierung der EDSA-Leitlinien wird schließlich das Berechnungsmodell der deutschen Datenschutzaufsichtsbehörden seine Gültigkeit verlieren und nicht mehr zur Anwendung kommen.
Sollten Sie Fragen zu Bußgeldern, deren Bemessung und Verhängung oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht