EDSA Leitlinien zur Berechnung von DSGVO-Bußgeldern

Fachbeitrag

Der Europäische Datenschutzausschuss (EDSA) hat die Leitlinien 04/2022 zur Berechnung von Bußgeldern nach der DSGVO zur Konsultation veröffentlicht. Die Leitlinien sollen das Working Paper 253 ergänzen, das die Umstände für die Entscheidung über die Erteilung eines Bußgeldes zum Gegenstand hat.

Die 5 Schritte des EDSA zur Berechnung von Bußgeldern

Für die Berechnung von Bußgeldern sind 5 Schritte vorgesehen:

  1. Identifizierung der gegenständlichen Verarbeitungsvorgänge und Feststellung, ob Art. 83 Abs. 3 DSGVO einschlägig ist.
  2. Bestimmung des Ausgangswertes für die Bußgeldberechnung in Abhängigkeit von
    a) der Klassifizierung als Verstoß nach Art. 83 Abs. 4, 5 oder 6 DSGVO
    b) der Schwere des Verstoßes nach Art. 83 Abs. 2 a), b) und g) DSGVO
    c) dem Umsatz des Unternehmens
  3. Anpassung des Wertes anhand verschärfender oder mildernder Umstände im früheren oder gegenwärtigen Verhalten des Verantwortlichen/Auftragsverarbeiters
  4. Identifizierung der relevanten Maximalbeträge für die verschiedenen Verarbeitungsvorgänge als Höchstgrenze der Geldbuße
  5. Bewertung des Betrages in Bezug darauf, ob die Geldbuße wirksam, abschreckend und verhältnismäßig ist nach Art. 83 Abs. 1 DSGVO

Erster Schritt: Sanktionierbare Handlung(en)

Im ersten Schritt wird im Wesentlichen festgestellt, ob eine oder mehrere sanktionierbare Handlungen vorliegen (Kapitel 3 der Leitlinien).

Zweiter Schritt: Ausgangshöhe des Bußgelds

Ausgangspunkt für die Bemessung ist die Einordnung des Verstoßes in die Obergrenzen von 10 Mio. Euro oder 2 % des Jahresumsatzes bzw. 20 Mio. Euro oder 4 % des Jahresumsatzes. Weitere Kriterien für den zweiten Schritt sind:

  • Art,
  • Schwere und Dauer des Verstoßes,
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes und
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind.

Schließlich wird noch der gesamte weltweit erzielte Jahresumsatz festgestellt. Den Aufsichtsbehörden wird empfohlen, bei kleinen und mittleren Unternehmen den Grundbetrag deutlich zu reduzieren (Kapitel 4 der Leitlinien).

Dritter Schritt: Bußgeldmindernde oder -schärfende Umstände

Als mildernde Umstände werden unter anderem alle Maßnahmen zur Begrenzung des Schadens für die betroffenen Personen berücksichtigt. Dabei haben Maßnahmen mehr Gewicht, die vor Kenntnis der behördlichen Ermittlungen getroffen wurden. Trotzdem hat auch das nachträgliche Verhalten Bedeutung; denn der Grad der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß abzustellen und die Milderung der möglichen nachteiligen Auswirkungen des Verstoßes werden ebenfalls in die Abwägung einbezogen.

Frühere Verstöße des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters gelten z.B. als erschwerende Umstände. Vorteilhaft ist auch eine Meldung des Verstoßes aus eigenem Antrieb, bevor der Verstoß der Aufsichtsbehörde beispielsweise durch eine Beschwerde oder eine Untersuchung bekannt wird (Kapitel 5 der Leitlinien).

Vierter Schritt: Obergrenze des Bußgelds

In diesem Schritt wird entschieden, ob die statische (10 oder 20 Millionen Euro) oder dynamische (2 % oder 4 % des Jahresumsatzes) Obergrenze für die Geldbuße anzuwenden ist. Nach dem Wortlaut des Art. 83 Abs. 4 und 5 muss der jeweils höhere Betrag zugrunde gelegt werden.

Die dynamische Obergrenze findet daher Anwendung bei Unternehmen mit einem Gesamtjahresumsatz über 500 Mio. Euro, denn 2 % von 500 Mio. Euro sind 10 Mio. Euro und 4 % von 500 Mio. Euro belaufen sich auf 20 Mio. Euro. Das 6. Kapitel der Leitlinien enthält zudem Erläuterungen zum Unternehmensbegriff der im Wesentlichen auf Artikel 101 und 102 AEUV beruht.

Fünfter Schritt: Individuelle Nachjustierung

Im letzten Schritt geht es um eine Nachjustierung anhand der Kriterien Wirksamkeit, Abschreckung und Verhältnismäßigkeit (Kapitel 7 der Leitlinien).

Prüfung im Einzelfall

Natürlich ist es nur zu begrüßen, dass der EDSA sich bemüht, die Bemessung von Geldbußen zu vereinheitlichen und gleichzeitig Transparenz zu schaffen. Der EDSA strebt eine Harmonisierung der Ausgangspunkte und der Methodik für die Berechnung einer Geldbuße an, nicht aber eine Harmonisierung des Ergebnisses. Eine genaue mathematische Berechnung der zu erwartenden Geldbuße anhand der Leitlinien ist nicht möglich und das aus gutem Grund. In den Leitlinien wird an verschiedenen Stellen betont, dass die endgültige Höhe der Geldbuße von allen Umständen des Einzelfalls abhängt.

Die deutschen Aufsichtsbehörden hatten 2019 ein System vorgelegt, dass den Jahresumsatz als wichtigstes Kriterium festgelegt hatte und damit voraussehbarer war. Aus demselben Grund ließ es zu wenig Raum für eine Prüfung im Einzelfall, weshalb die Behörden bei einer gerichtlichen Prüfung mit ihrem System Schiffbruch erlitten. Das Landgericht Bonn verwarf das System in seinem Urteil vom 11. November 2020 (Aktenzeichen: 29 OWi 1/20) und reduzierte die danach bemessene Geldbuße auf ein Zehntel.

Da es aber nach dem Konzept des EDSA letzten Endes auf die Einzelfallprüfung ankommt, wird sich der Harmonisierungseffekt wahrscheinlich in Grenzen halten. Zunächst muss abgewartet werden, ob der Entwurf im Konsultationsverfahren noch geändert wird.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.