Datenschutz

Einheitliche Regeln für Datenschutzbußgelder in Europa

12.07.2023

„Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung anderer EU-Gesetze sein.“ (so Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit)

Die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa erfolgt nunmehr gemäß einheitlicher Maßstäbe, was einen bedeutenden Fortschritt darstellt. Der Europäische Datenschutzausschuss („EDSA“) hat in seiner letzten Plenarsitzung entsprechende Leitlinien angenommen, welche sich rein auf die Berechnung von Bußgeldern konzentriert und darauf abzielt, die von den Datenschutzbehörden verwendete Methodik zu harmonisieren. Die Leitlinien berücksichtigen insbesondere drei Elemente: Kategorisierung der Verstöße, Schwere des Verstoßes und Umsatz eines Unternehmens.

An der Erstellung haben auch die Datenschutzaufsichtsbehörden Berlins, Hessens und des Bundes als Vertreterinnen der deutschen Datenschutzaufsicht aktiv mitgewirkt.

Datenschutz-Grundverordnung schafft Rahmen für hohe Bußgeldsummen

„Bei Verstößen gegen die folgenden Bestimmungen werden (…) Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“ (Art. 83 Abs. 5 DSGVO).

Gemäß der Datenschutz-Grundverordnung haben die europäischen Aufsichtsbehörden die Befugnis, Bußgelder bei Verstößen zu verhängen. Diese können bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes betragen. Die nun verabschiedeten Leitlinien zur Bußgeldzumessung stellen sicher, dass die gesetzlichen Vorgaben europaweit einheitlich angewendet werden. Hierfür wurde ein fünfstufiges Zumessungsverfahren entwickelt, das insbesondere die Art und Schwere der Verstöße sowie den Umsatz der betroffenen Unternehmen berücksichtigt:

1. Stufe: Identifizieren der Verarbeitungstätigkeiten im Einzelfall und Evaluierung der Anwendbarkeit von 83 Abs. 3 DSGVO.

2. Stufe: Ausmachen des Startpunktes für eine weiterführende Berechnung auf Grundlage der Evaluierung folgender Aspekte:
a) der Einstufung in 83 Abs. 4 bis 6 DSGVO
b) der Schwere des Verstoßes gem. 83 Abs. 2 lit. a, b und g DSGVO
c) des Umsatzes des Unternehmens als ein relevantes Element, das zu berücksichtigen ist im Hinblick auf die Verhängung einer wirksamen,  abschreckenden und angemessenen Geldbuße gem. 83 Abs. 1 DSGVO

3. Stufe: Bewertung erschwerender und mildernder Umstände im Zusammenhang mit früherem und gegenwärtigem Verhalten des Verantwortlichen/Auftragsverarbeiters und entsprechende Erhöhung oder Herabsetzung der Geldbuße.

4. Stufe: Identifizierung der relevanten gesetzlichen Höchstwerte für die verschiedenen Verarbeitungsvorgänge. Erhöhungen die in vorangegangenen oder nachfolgenden Schritten angewendet werden, dürfen diesen Betrag nicht überschreiten.

5. Stufe: Analyse, ob der endgültige Betrag der berechneten Geldbuße den Anforderungen an Wirksamkeit, Abschreckung und Verhältnismäßigkeit, wie in 83 Abs. 1 DSGVO gefordert, gerecht wird und entsprechende Erhöhung oder Herabsetzung der Geldbuße.

Beispielsfall des Europäischen Datenschutz-Ausschusses

Der Europäische Datenschutz-Ausschuss („EDSA“) hat in seinen Leitlinien auch Beispielsfälle aufgezählt, um es den Anwendern und auch den Unternehmen klarer vor Augen zu führen, wie in Zukunft eine Bußgeldrechnung aussehen kann:

[Beispiel B:]

Man nehme eine Hotelkette mit einem jährlichen Umsatz von 2 Milliarden Euro, die gegen Art. 12 DSGVO (Transparenzgebote und Rechte von Betroffenen) verstoßen hat. Die Aufsichtsbehörde hat, nach Analyse der Umstände des Falls gem. Art. 83 Abs. 2 lit. a, b und g DSGVO, entschieden, dass die Schwere des Verstoßes in mittlerer Höhe einzuordnen sei.

Daraufhin hat die Aufsichtsbehörde über den Ausgangspunkt für die weitere Berechnung entschieden. Die Aufsichtsbehörde stellt nun zunächst fest, dass Art. 12 DSGVO unter Art. 83 Abs. 5 lit. b DSGVO geführt wird. Der Jahresumsatz beträgt 2 Milliarden Euro, also mehr als 500 Millionen Euro, weshalb die dynamische Höchststufe erreicht sei. Das führe dazu, dass die legale Maximalsumme, 4 Prozent des Jahresumsatzes, 80 Millionen Euro betrüge. Da der Verstoß als mittel eingestuft wurde, liege der Startpunkt der Berechnung bei circa 10 bis 20 Prozent der maximal möglichen Summe, also zwischen 8 und 16 Millionen Euro.

Dabei sei zu berücksichtigen, dass die Ausgangssumme steige, je höher die Schwere des Verstoßes innerhalb seiner Kategorie einzustufen sei. Das führt dazu, dass die Summe nach individueller Einschätzung der Aufsichtsbehörde auch höher ausfallen könnte.

Da das Unternehmen einen Jahresumsatz von mehr als 500 Millionen Euro habe und somit die dynamische gesetzliche Obergrenze greift [Anmerkung: eine von dem EDSA festgesetzten Grenze], spiegle sich die Unternehmensgröße bereits in der dynamischen gesetzlichen Obergrenze wider, die zur Ermittlung der Bestimmung des Ausgangsbetrags herangezogen wurde. Daher seien weitere Anpassungen nicht mehr notwendig.

Fazit: Was in Deutschland gut funktioniert hat, soll es nun auf europäischer Ebene

Europäische Datenschutzaufsichtsbehörden haben vereinheitlichte Regeln für Datenschutzbußgelder eingeführt, wobei die Bußgelder auf einem fünfstufigen Verfahren basieren, das Verstoßart, -schwere und Unternehmensumsatz berücksichtigt.

Bereits Ende 2019 haben die deutschen Aufsichtsbehörden durch das damalige Bußgeldkonzept der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) gezeigt, dass eine Vereinheitlichung der Bußgeldpraxis auch innerhalb eines föderalen Aufsichtssystems möglich ist. Die jetzigen europäischen Leitlinien bauen auf diesen Erfahrungen auf und tragen zur weiteren Harmonisierung bei. – Insgesamt bleibt abzuwarten, wie letztlich Gerichte die neuen Bußgeldsummen beurteilen werden.

Michael Wehowsky

Über den Autor - Datenschutzbeauftragter Michael Wehowsky

Herr Michael Wehowsky ist zertifizierter Datenschutzbeauftragter (udis) und zertifizierter Berater im Datenschutzrecht (FernUniversität Hagen). Darüberhinaus ist er Certified Information Privacy Professional Europe (CIPP/E) und Certified Information Privacy Technologist (CIPT), jeweils durch die iapp. - In seiner Funktion als Teil des Beratungsteams unterstützt er Unternehmen verschiedenster Ausrichtung und Größe im Datenschutz in deutscher, englischer und italienischer Sprache.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot