.st0{fill:#FFFFFF;}

EDSA: Neue Leitlinien zur Bußgeldberechnung

Wichtige Datenschutz-Themen von Profis aufbereitet

EDSA: Neue Leitlinien zur Bußgeldberechnung

Der Europäische Datenschutzausschuss (EDSA) hat kürzlich neue Leitlinien zur Bußgeldberechnung veröffentlicht. Mit den neuen Leitlinien müssten Unternehmen schon bald mit höheren Strafen bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) rechnen. Die Leitlinien wurden bereits im April zur Konsultation veröffentlicht, die noch bis zum 27. Juni 2022 läuft.


Das Wichtigste in Kürze

  • Grundsätzlich liegt die Berechnung der Bußgeldhöhe, vorbehaltlich der DSGVO-Vorschriften, im Ermessen der jeweiligen Aufsichtsbehörde.
  • Mit den neuen Leitlinien verfolgt der EDSA das Ziel der Harmonisierung der Berechnungsmethoden für Bußgelder innerhalb der EU.
  • Die Leitlinien sehen ein fünfstufiges Modell zur Bußgeldberechnung vor.
  • Dennoch kommt den nationalen Datenschutzaufsichtsbehörden bei der Berechnung und Verhängung von Bußgeldern weiterhin ein großer Ermessensspielraum zu.

    1. Bemessung der Bußgelder liegt grundsätzlich im Ermessen der Behörden

    Grundsätzlich liegt die Berechnung der Bußgeldhöhe, vorbehaltlich der DSGVO-Vorschriften, im Ermessen der jeweiligen Aufsichtsbehörde. Nach den Vorgaben der DSGVO muss die Sanktionshöhe wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO). Darüber hinaus muss die Aufsichtsbehörde im Rahmen der Festsetzung der Bußgeldhöhe im Hinblick auf die Schwere des Datenschutzverstoßes oder besondere Merkmale des Schädigers bestimmte Umstände berücksichtigen (Art. 83 Abs. 2 DSGVO).


    2. Harmonisierung der Berechnungsmethoden

    Mit der Veröffentlichung der Leitlinien verfolgt der EDSA primär die Harmonisierung der Berechnungsmethoden für Bußgelder in den EU-Mitgliedstaaten. Darüber hinaus schafft sie mit den öffentlich zugänglichen Leitlinien Transparenz für die Adressaten von Sanktionen nach der DSGVO. Allerdings hält sich der Grad der Vorhersehbarkeit von DSGVO-Bußgeldern mit Bezug auf Unternehmen mit geringen bis mittleren Einnahmen in Grenzen.


    3. Fünf Schritte zur Berechnung der Bußgeldhöhe

    Im Wesentlichen sieht der EDSA für die Bußgeldberechnung die folgenden fünf Schritte vor:

    1) Identifizierung der bußgeldbewehrten Handlung

    Zunächst werden die relevanten Verarbeitungsvorgänge identifiziert und anschließend festgestellt, ob die allgemeinen Bedingungen für die Verhängung von Bußgeldern gegeben sind (Art. 83 DSGVO).

    2) Bestimmung der Ausgangshöhe

    Als Nächstes folgt die Bestimmung der Ausgangshöhe für die konkrete Festlegung der Bußgeldhöhe. Der Ausgangswert ist dabei abhängig von,

    a. der Einordnung als Verstoß gem. Art. 83 Abs. 4, 5 oder 6 DSGVO,
    b. der Intensität des Verstoßes unter Berücksichtigung des Einzelfalles gem. Art. 83 Abs. 2 lit. a), lit. b) und g.) DSGVO
    c. und dem weltweit erzielten Umsatz des Unternehmens des vorangegangenen Jahres.

    3) Berücksichtigung mindernder oder schärfender Umstände

    Anschließend werden ggf. verschärfende oder mildernde Umstände bei der Berechnung berücksichtigt. Als mildernde Umstände sind dabei sämtliche Maßnahmen anzusehen, die der Verantwortliche zur Begrenzung des Schadens für die betroffenen Personen ergriffen hat. Dabei spielt nicht nur das Verhalten vor dem Bekanntwerden der Datenpanne eine Rolle, sondern auch das nach dem schädigenden Ereignis (insbesondere Kooperationsbereitschaft mit der Behörde).

    4) Ermittlung der Bußgeldgrenze

    Dann werden die relevanten Maximalbeträge für die verschiedenen Verarbeitungsvorgänge als Grenze der Bußgeldhöhe identifiziert. Es wird festgelegt, ob der Bußgeldberechnung die konkret bezifferte Obergrenze von 10 oder 20 Millionen Euro oder vielmehr die dynamische von 2 % oder 4 % des weltweit erzielten Jahresumsatzes zugrunde gelegt wird.

    5) Individuelle Anpassung im Einzelfall

    Zuletzt erfolgt eine abschließende Bewertung des ermittelten Betrages im Hinblick auf Wirksamkeit, Abschreckung und Verhältnismäßigkeit im Sinne des Art. 83 Abs. 1 DSGVO. Letzten Endes kommt es für die Sanktionshöhe insbesondere auf die Umstände des Einzelfalls an.

    4. Fazit

    Nicht nur die Aufsichtsbehörden profitieren von den neuen Leitlinien, die zur Vereinfachung der Bußgeldbemessung beitragen. Vielmehr können diese auch für Unternehmen ein essenzielles Instrument zur Einschätzung von Bußgeldrisiken bei Datenschutzverstößen darstellen. Dabei dürfte die von der Behörde vorgesehene Berücksichtigung von erschwerenden und mildernden Umständen bei der Bemessung der Bußgeldhöhe mitunter eine zentrale Rolle spielen. So kann sowohl vorangegangenes als auch gegenwärtiges Verhalten des datenschutzrechtlich Verantwortlichen die Bußgeldhöhe beeinflussen. Da das Konsultationsverfahren noch bis zum 27. Juni 2022 läuft, ist nicht auszuschließen, dass die Behörde auf Grundlage des bis dahin eingegangenen Feedbacks Änderungen an den Leitlinien vornehmen wird. Da erfahrungsgemäß mit keinen elementaren Änderungen mehr gerechnet werden muss, ist es empfehlenswert, sich an der aktuell veröffentlichten Fassung der Leitlinien zu orientieren.

    Datenschutzschulungen für Ihre Mitarbeiter?


    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.