Einheitliche Leitlinien der Bußgeldberechnung

Die Einhaltung der DSGVO ist von entscheidender Bedeutung. Der Schutz personenbezogener Daten eine zwingende Grundlage für das Vertrauen zwischen Unternehmen und Verbrauchern. Um sicherzustellen, dass die Bestimmungen der DSGVO eingehalten werden, wurde den Datenschutzaufsichtsbehörden u. a. das Recht eingeräumt, Bußgelder für diverse datenschutzrechtliche Verstöße zu verhängen. Erst kürzlich wurde ein Rekordbußgeld in Höhe von 1,2 Milliarden Euro gegen den Facebook-Mutterkonzern Meta ausgesprochen (wir berichteten). In diesem Zuge möchten wir die Hintergründe einer solchen Bußgeldberechnung genauer beleuchten. In der Vergangenheit waren die Rahmenbedingungen hinter solchen Bußgeldberechnung sehr intransparent und wurden durch jede Aufsichtsbehörde individuell festgelegt.

Im Mai 2022 wurden jedoch einheitliche Leitlinien für die Bußgeldberechnung durch den Europäischen Datenschutzausschuss (EDSA) angenommen. Diese gelten zwar nicht verbindlich für die Aufsichtsbehörden, sollen aber die Rahmenbedingungen für eine Bußgeldberechnung im EWR-Raum harmonisieren.

Der folgende Beitrag soll einen Überblick über die einzelnen Schritte der Bußgeldberechung bei nicht-öffentlichen Stellen geben. Einen Überblick über die allgemeine Bußgeldsituation bei öffentlichen Stellen erhalten Sie in diesem Blogbeitrag.

Die 5-Schritte der Bußgeldberechnung nach den Leitlinien des Europäischen Datenschutzausschuss

Schritt 1

Zunächst müssen die Aufsichtsbehörden prüfen, ob der jeweilige Fall sanktionierbare Handlungen beinhaltet und inwieweit diese zu Verstößen geführt haben. Hintergrund dieser Prüfung ist die Entscheidung, ob sämtliche Verstöße mit einem Bußgeld zu ahnden sind oder nur ein Teil der Verstöße.

Schritt 2

Im zweiten Schritt wird der Ausgangspunkt (Ausgangsbetrag) für die Bußgeldberechnung ermittelt. Hier beschreibt der Europäische Datenschutzausschuss alle Umstände, die bei einer Berechnung des Ausgangspunktes von Bedeutung sind. Laut EDSA setzt sich der Ausgangsbetrag aus drei Umständen zusammen: Der Art der Verstöße (a), der Schwere des Verstoßes (b) und dem Umsatz des Unternehmens (c).

Die Art des Verstoßes (Art. 83 Abs. 4 – 6 DSGVO)

Verstöße gegen Art. 83 Abs. 4 DSGVO können mit einem Bußgeld von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2% seinen gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres geahndet werden. Verstöße gegen Art. 83 Abs. 5 und 6 DSGVO können mit einem Bußgeld von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Hierdurch ergeben sich die gesetzlichen Höchstbeträge, die ein Bußgeld jeweils nicht überschreiten darf.

Die Schwere des Verstoßes

Die Aufsichtsbehörden müssen anschließend anhand der in Art. 83 Abs. 2 DSGVO aufgelisteten Kriterien die Schwere des Verstoßes feststellen. Laut EDSA muss sich aus der Feststellung ein Schweregrad ergeben, um den Ausgangsbetrag prozentual vom gesetzlichen Höchstbetrag zu ermitteln.

- geringer Schweregrad: Ausgangsbetrag liegt zwischen 0 und 10 % des gesetzlichen Höchstbetrags.
- mittlerer Schweregrad: Ausgangsbetrag liegt zwischen 10 und 20 % des gesetzlichen Höchstbetrags.
- hoher Schweregrad: Ausgangsbetrag liegt zwischen 20 und 100 % des gesetzlichen Höchstbetrags.

Um den Schweregrad des Verstoßes zu ermitteln, bedarf es trotz einheitlicher Leitlinien zumeist einer individuellen Sachverhaltsbetrachtung.

Der Umsatz des Unternehmens

Abschließend werden in Anbetracht des Umsatzes eines Unternehmens weitere Korrekturen an dem zuvor ermittelten Ausgangsbetrag vorgenommen. Der Betrag kann auf 0,2 % bis 50 % des oben ermittelten Ausgangsbetrages reduziert werden.

Der am Ende von Schritt 2 ermittelte Betrag ist der finale Ausgangsbetrag für die weiteren Schritte im Bußgeldverfahren.

Schritt 3

Im dritten Schritt ermitteln die Aufsichtsbehörden entweder erschwerende oder mildere Umstände, welche die Höhe des in Schritt 2 ermittelten Betrages entweder erhöhen oder senken können. Zu den Umständen gehören unter anderem das Verhalten der Verantwortlichen (Kooperationsbereitschaft, Gegenmaßnahmen), sowie ob bereits in der Vergangenheit Verstöße festgestellt worden sind. Die Erhöhung oder Senkung des in Schritt 2 ermittelten Betrages wird individuell durch die Aufsichtsbehörden vorgenommen.

Schritt 4

In diesem Schritt muss der ermittelte Bußgeldbetrag erneut mit den gesetzlichen Höchstbeträgen der Art. 83 Abs. 4 – 6 DSGVO abgeglichen werden. Die Aufsichtsbehörden müssen sicherstellen, dass die gesetzlichen Höchstbeträge auch nach allen Berechnungen nicht überschritten werden.

Schritt 5

Im fünften und letzten Schritt der Bußgeldberechnung müssen die Aufsichtsbehörden das ermittelte Bußgeld gemäß Art. 83 Abs. 1 DSGVO im Hinblick auf die Wirksamkeit, Verhältnismäßigkeit und Abschreckung bewerten, um etwaige Nachjustierungen vornehmen zu können. Durch diesen Schritt erlangen die Aufsichtsbehörden eine weitere Möglichkeit eine individuelle Sachverhaltsprüfung vorzunehmen.

Fazit

Die veröffentlichten Leitlinien des EDSA bieten den Aufsichtsbehörden im Rahmen ihrer Bußgeldentscheidungen einheitliche und harmonisierte Rahmenbedingungen zur Bestimmung von Bußgeldern. Die Harmonisierung bezieht jedoch lediglich auf die Berechnungsgrundlage der Bußgelder. Die endgültige Höhe der Bußgelder wird durch die Justierungsmöglichkeiten des Modells weiterhin individuell durch die jeweilige Aufsichtsbehörde festgelegt. Ein Grund hierfür ist die Vermeidung von potenziellen Bußgeldberechnungen für Datenschutzverstöße durch Unternehmen, die so das Risiko eines Datenschutzverstoßes im Vorhinein abwägen könnten. Eine vollständige Harmonisierung der Bußgeldpraxis der Behörden im gesamten EWR-Raum ist somit auch zukünftig sehr unwahrscheinlich.

Tom Tönjes | 7. Juni 2023 | Allgemein, Aufsichtsbehörden | Aufsichtsbehörden, Bußgeld, Bußgeldberechnung, Bußgeldmodell, EDSA