Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

09. Juni 2022

Einheitliche Bußgeldpraxis: EDSA legt Leitlinien vor

Guidelines 04/2022 on the calculation of administrative fines under the GDPR
4,50 (4)
Bußgeld bei Datenschutzverstößen
Wie kommen die EU-Mitgliedstaaten zu einer einheitlichen Bußgeldpraxis für Datenschutzverstöße? Darüber diskutieren Aufsichtsbehörden schon seit Langem. Nun hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zur Berechnung von Bußgeldern nach der DSGVO veröffentlicht.

Einheitliche Bußgeld-Methode und mehr Transparenz

Der Europäische Datenschutzausschuss (EDSA) ist die das gemeinsame Abstimmungsgremium der EU-Datenschutzbehörden. Er legte am 12. Mai 2022 die Leitlinien 04/2022 zur Berechnung von Bußgeldern nach der Europäischen Datenschutz-Grundverordnung (DSGVO) vor. Seine Vorsitzende Andrea Jelinek erklärte dazu in einer Pressemitteilung:

„Von nun an werden die Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum dieselbe Methode zur Berechnung von Geldbußen anwenden. Dies wird zu einer weiteren Harmonisierung und Transparenz der Bußgeldpraxis der Datenschutzbehörden beitragen.“

Wichtiger Baustein für mehr Rechtsklarheit bei Bußgeldern

Das sieht auch Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BaWü), so. Er begrüßt in seiner Pressemitteilung die Leitlinien „als einen wichtigen Baustein zur einheitlichen Anwendung der Datenschutz-Grundverordnung“ und ist sich sicher, dass sie „für Rechtsklarheit in zentralen Fragen der Bußgeldbemessung“ sorgen.

Die Datenschutzkonferenz (DSK) fordere das schon lange und habe unter seiner Federführung im Oktober 2019 ein eigenes Konzept zur Bußgeldzumessung erstellt (wir berichteten) Das Landgericht Bonn hatte das Konzept jedoch im November 2020 verworfen (wir berichteten), da es den Einzelfall zu wenig berücksichtige.

Individuelle Umstände spielen wichtige Rolle

Diese Kritik ist in die neue EDSA-Leitlinie zu Bußgeldern eingeflossen – und Jelinek betont: „Die individuellen Umstände eines Falles müssen immer ein entscheidender Faktor sein, und die Datenschutzbehörden spielen eine wichtige Rolle, um sicherzustellen, dass jede Geldbuße wirksam, verhältnismäßig und abschreckend ist.“

weka-manager-verarbeitungstaetigkeiten

Verarbeitungsverzeichnis DSGVO-konform führen und nachweisen

In kurzer Zeit erstellen Sie mit der Software „WEKA Manager Verarbeitungstätigkeiten“ eine lückenlose, rechtssichere Dokumentation über alle Verarbeitungstätigkeiten (inkl. 100 Muster-Tätigkeiten & DSFA-Tool)

 

Fünf Schritte zur Berechnung von Bußgeldern

Für die konkrete Berechnung schlägt der EDSA den Datenschutzbehörden in den EU-Mitgliedstaaten ein Vorgehen in fünf Schritten vor:

Schritt 1: Zahl der Verstöße feststellen

Im ersten Schritt – der in Kapitel 3 der Leitlinien beschrieben ist – müssen die Datenschutzbehörden prüfen, wie viele sanktionierbare Handlungen vorliegen.

  • Handelt es sich um einen oder mehrere Verstöße, die geahndet werden müssen?

Schritt 2: Basisbetrag für die Berechnung der Höhe der Geldbuße ermitteln

Im zweiten Schritt – der in Kapitel 4 der Leitlinien beschrieben ist – ermitteln die Behörden den Basisbetrag für die weitere Berechnung der Höhe der Geldbuße. Sie prüfen:

  • Wie sind die Umstände des Einzelfalls und die Schwere der Zuwiderhandlung und wie hoch ist der Umsatz des Unternehmens?

Schritt 3: Mildernde und erschwerende Umstände prüfen

Im dritten Schritt – der in Kapitel 5 der Leitlinien beschrieben ist – bewerten die Datenschutzbehörde die Umstände des Datenschutzverstoßes:

  • Gibt es mildernde Umstände oder erschwerende Umstände in Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Unternehmens, die sich auf die Höhe des Bußgelds auswirken?

Schritt 4: Obergrenze des Bußgelds festlegen

Im vierten Schritt – in Kapitel 6 beschrieben – ermitteln die Behörden die einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verstöße und fragen:

  • Wenden wir die statische Obergrenze von 10 bzw. 20 Millionen Euro oder die die dynamische von 2 bzw. 4 Prozent des Jahresumsatzes des Unternehmens an?

Schritt 5: Individuell nachjustieren

Im fünften und letzten Schritt – siehe Kapitel 7 der Leitlinien – geht es um eine Nachjustierung im individuellen Einzelfall. Erneut fragen die Behörden

  • Welcher Betrag ist in diesem konkreten Fall wirksam, verhältnismäßig und abschreckend?

Konsequenzen für Unternehmen

Der EDSA spricht in seinen Leitlinien ausdrücklich von einer „direct corprate liability“, also einer direkten Unternehmenshaftung.

Der Jurist und Datenschutzexperte Tim Wybitul hat deshalb – in einem Gastbeitrag für das Online-Magazin LTO – einen dringenden Rat an Unternehmen: „Vor allem sollten sie ihr Management über die veränderte Sachlage und Risikolandschaft informieren. Auf dieser Basis lassen sich resultierende Risiken richtig bewerten, entsprechende Vermeidungs- und Verteidigungsstrategien entwickeln sowie konkrete Handlungsempfehlungen formulieren und umsetzen.“

Denn: „Gerade bei umsatzstarken und großen Unternehmen dürften die Vorgaben des EDSA künftig zu höheren Geldbußen wegen festgestellten Verstößen führen.“

Die Leitlinie ist noch nicht in ihrer endgültigen Fassung veröffentlicht. Bis zum 27. Juni steht sie noch zur öffentlichen Konsultation.

Mehr Informationen:

Elke Zapf

Elke Zapf
Verfasst von
Elke Zapf
Elke Zapf
ist freiberufliche Kommunikationsexpertin und Journalistin. Ihre Schwerpunkte sind Wissenschaft, Forschung, nachhaltiger Tourismus und Datenschutz.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.