Europäischer Datenschutzausschuss (EDSA) konkretisiert Berechnungsgrundlagen für DSGVO-Bußgelder

Mit den vom EDSA am 12. Mai 2022 veröffentlichen Leitlinien-Entwurf soll das Working Paper 253 ergänzt werden, dessen Gegenstand die Anwendung und Festsetzung von Geldbußen im Sinne der DSGVO ist. Stellungnahmen zu dem Entwurf werden bis zum 27. Juni 2022 entgegengenommen. Ziel der Leitlinie ist es, eine einheitliche Methodik zur Berechnung von Bußgeldern einzuführen und somit zu weiterer Harmonisierung und Transparenz der Bußgeldpraxis der nationalen Datenschutzbehörden beizutragen. Der Leitlinien-Entwurf untergliedert die Methodik zur Berechnung von Bußgeldern in fünf Schritte:

1. Schritt (Kapitel 3 des Leitlinien-Entwurfs): Gegenständliche Datenverarbeitung und Anwendungsbereich von Art. 83 Abs. 3 DSGVO

Der erste Schritt dreht sich zunächst um die Identifizierung der gegenständlichen Datenverarbeitung. Anschließend sollen die nationalen Aufsichtsbehörden prüfen, ob die Verarbeitung im Anwendungsbereich des Art. 83 Abs. 3 DSGVO liegt, also sanktionierbar ist.

2. Schritt (Kapitel 4 des Leitlinien-Entwurfs): Ermittlung des Ausgangswertes für Berechnung der Bußgeldhöhe

Im nächsten Schritt wird der Ausgangswert für die Festlegung der Bußgeldhöhe ermittelt. Im Zuge dessen erfolgt zu Beginn eine Klassifizierung des Verstoßes nach Art. 83 Abs. 4-6 DSGVO (10 Mio. Euro bzw. 2 % des Jahresumsatzes oder 20 Mio. Euro bzw. 4 % des Jahresumsatzes).

Daneben wird die Schwere des Verstoßes gem. Art. 83 Abs. 2 a), b) und g) DSGVO bei der Berechnung einbezogen. Entscheidend hierbei sind Kriterien wie die Art und Dauer oder das Verschulden (Vorsätzlichkeit oder Fahrlässigkeit) hinsichtlich des Verstoßes. Auch miteinbezogen wird, welche Kategorien personenbezogener Daten von dem Verstoß betroffen sind. Ein weiteres relevantes Element bei der Berechnung ist der Umsatz des Unternehmens. Grund dafür ist gem. Art. 83 Abs. 1 DSGVO, dass die Geldbuße „wirksam, verhältnismäßig und abschreckend“ sein soll. Der Leitlinien-Entwurf legt den Aufsichtsbehörden dabei jedoch nah, den Grundbetrag in Bezug auf kleine und mittlere Unternehmen deutlich zu reduzieren.

3. Schritt (Kapitel 5 des Leitlinien-Entwurfs): Bewertung von verschärfenden und mildernden Umständen

Im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des für die Verarbeitung Verantwortlichen können bietet der Entwurf den Aufsichtsbehörden Anhaltspunkte für eine entsprechende Erhöhung oder Herabsetzung der Geldbuße.

Mildernde Umstände bestehen unter anderem darin, Maßnahmen zur Begrenzung des Schadens zu treffen und das schädigende Verhalten unverzüglich einzustellen. Auch die Zusammenarbeit mit der Aufsichtsbehörde kann mildernd berücksichtigt werden. Hierzu gehört u.a. die selbstständige Meldung des Verstoßes vor Kenntnis der Aufsichtsbehörde. Bußgelderhöhend wirkt sich dagegen etwa ein bereits vorangegangener DSGVO-Verstoß aus.

4. Schritt (Kapitel 6 des Leitlinien-Entwurfs): Ermittlung der Bußgeldobergrenze

An dieser Stelle wird zwischen der statischen (10 Mio. oder 20 Mio. Euro) und der dynamischen
(2 % oder 4 % des Jahresumsatzes) Betrachtung der Obergrenzen für das Bußgeld unterschieden. Gemäß Art. 83 Abs. 4 und 5 DSGVO ist der jeweils höhere Betrag anzusetzen. Demnach findet der dynamische Ansatz lediglich Anwendung auf Unternehmen mit einem Gesamtjahresumsatz von mehr als 500 Mio. Euro. Die Obergrenzen schließen auch Bußgelderhöhungen ein, die infolge der vorangegangenen Schritte bereits vorgenommen wurden.

5. Schritt (Kapitel 7 des Leitlinien-Entwurfs): Abwägung nach Kriterien des Art. 83 Abs. 1 DSGVO

Im letzten Schritt ist eine Abwägung vorzunehmen, ob der endgültige Betrag des Bußgelds den Anforderungen an „Wirksamkeit, Abschreckung und Verhältnismäßigkeit“ gemäß Art. 83 Abs. 1 DSGVO gerecht wird. Ist dem nicht der Fall, soll die Bußgeldhöhe entsprechend angepasst werden.

 Fazit: EDSA schafft mehr Transparenz zu Bußgeldrisiken

Der Entwurf ist gerade aus Unternehmenssicht zu begrüßen, da die Leitlinien als Instrument genutzt werden können, um Bußgeldrisiken künftig besser abschätzen zu können. Im Fall von eigenen DSGVO-Vergehen bieten die Leitlinien eine größere Vorhersehbarkeit der sich hieraus ergebenden Bußgeldhöhe. Zu begrüßen ist die Reduzierung des Grundbetrags für weniger finanzstarke kleinere und mittlere Unternehmen. Die Bewertung der Aufsichtsbehörden von erschwerenden oder mildernden Umständen, von denen die Höhe des Bußgelds zusätzlich abhängen kann, wird für Unternehmen eine zentrale Rolle spielen (3. Schritt). Daher werden künftig datenschutzrechtliche Compliance-Maßnahmen für Unternehmen noch weiter an Relevanz gewinnen.

Der Entwurf strebt eine weitergehende Harmonisierung im Bußgeldberechnungsverfahren an. Mit dem Aufstellen der fünfstufige Berechnungsmethodik wird dafür eine Grundlage geschaffen. Ob sich Effekte der Harmonisierung und größerer Transparenz jedoch auch in den konkret verhängten Bußgeldern widerspiegeln, lässt sich, angesichts der Abhängigkeit von Umständen des Einzelfalls, nicht mit Sicherheit sagen. Dieser Umstand wird selbst in dem Entwurf der Leitlinie betont, da gerade die Berechnungsgrundlage und nicht das konkrete Ergebnis harmonisiert werden könne und solle (vgl. insbesondere Kapitel 5). Bis zur endgültigen Anwendung der Leitlinien bleibt also abzuwarten, inwieweit zumindest die einheitliche Berechnungsgrundlage greift und damit Rechtsunsicherheiten bezüglich drohender DSGVO-Bußgelder minimieren kann.

Es bleibt ebenfalls abzuwarten, ob der Entwurf auf Grundlage der eingegangenen Stellungnahmen mit Ende des öffentlichen Konsultationsverfahrens noch Veränderungen erfahren wird. Insgesamt werden jedoch bereits durch den Entwurf Grundpfeiler für die Bußgeldpraxis gesetzt, von denen sich die endgültige Fassung wohl eher marginal unterscheiden wird. Unternehmen ist somit zu empfehlen, sich bereits jetzt auf die festgelegten Berechnungsgrundlage und Kriterien einzustellen.

Vielen Dank an Philip Koch und Amai Niedermowwe für ihre wertvolle Unterstützung beim Verfassen dieses Beitrages.