Neue EDSA-Leitlinien zur Bußgeldberechnung für DSGVO-Verstöße


Hintergrund

ǀ Der Europäische Datenschutzausschuss (EDSA) hat am 12. Mai 2022 Leitlinien zur Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße veröffentlicht. Das Konzept soll in der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR) zu einer Vereinheitlichung der Geldbußen für festgestellte DSGVO-Verstöße führen. Es ist für die nationalen Aufsichtsbehörden verbindlich. Damit werden für die zuständigen Aufsichtsbehörden im Inland die Kriterien zur Verhängung von Geldbußen des Art. 83 DSGVO konkretisiert.

Neues Modell zur Ermittlung von DSGVO-Geldbußen

Zur Berechnung der Bußgelder sehen die Leitlinien das folgende fünfstufige Modell vor:

  1. Identifizierung der gegenständlichen Verarbeitungsvorgänge
  2. Ermittlung des Ausgangswerts für die Bußgeldberechnung
  3. Berücksichtigung erschwerender und mildernder Umstände
  4. Ermittlung der Höchstgrenze der Geldbuße
  5. Einzelfallbezogene Bewertung

Im ersten Schritt muss zunächst geprüft werden, welche sanktionierbaren Handlungen vorliegen. Hierbei ist festzustellen, ob der Sachverhalt als eine oder mehrere sanktionierbare Verhaltensweisen zu betrachten ist. Darüber hinaus ist in den Fällen, in denen mehrere Verstöße aus denselben oder miteinander verbundenen Verarbeitungsvorgängen resultieren, zu prüfen, ob Art. 83 Abs. 3 DSGVO (vorsätzlicher oder fahrlässiger Verstoß) einschlägig ist.

Im zweiten Schritt wird der Ausgangswert des Bußgelds ermittelt. Dieser stellt den Ausgangspunkt für die weitere Berechnung dar, bei der alle Umstände des Falls berücksichtigt und gewichtet werden, was zur Festlegung der endgültigen Höhe der zu verhängenden Geldbuße führt. Nach Ansicht des EDSA bilden drei Elemente die Basis für die weitere Berechnung:

  • die Einstufung der Verstöße nach ihrer Art gemäß Art. 83 Abs. 4 bis 6 DSGVO,
  • die Schwere des Verstoßes gemäß Art. 83 Abs. 2 DSGVO und
  • der Umsatz des Unternehmens als ein relevantes Element, das im Hinblick auf die Verhängung einer wirksamen, abschreckenden und angemessenen Geldbuße gemäß Art. 83 Abs. 1 DSGVO zu berücksichtigen ist.

Im dritten Schritt werden erschwerende und mildernde Umstände im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des für die Verarbeitung Verantwortlichen bzw. des Auftragsverarbeiters bewertet und die Geldbuße entsprechend erhöht oder herabgesetzt.

  • Als mildernde Umstände werden unter anderem alle von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ergriffenen Maßnahmen zur Minderung des Schadens für die betroffenen Personen berücksichtigt. Dabei haben Maßnahmen, die vor Wissen von den behördlichen Ermittlungen getroffen wurden, mehr Gewicht. Trotzdem hat auch das nachträgliche Verhalten Bedeutung, denn der Grad der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß abzustellen, und die Milderung der möglichen nachteiligen Auswirkungen des Verstoßes werden ebenfalls in die Abwägung einbezogen. Vorteilhaft ist auch eine Meldung des Verstoßes aus eigenem Antrieb, bevor der Verstoß der Aufsichtsbehörde beispielsweise durch eine Beschwerde oder eine Untersuchung bekannt wird.
  • Als erschwerende Umstände gelten unter anderem frühere Verstöße. Der Grad der Verantwortung wird als erschwerender oder neutraler Faktor eingestuft. Nur in Ausnahmefällen, wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter über die ihm auferlegten Pflichten hinausgegangen ist, wird der Grad der Verantwortung als mildernder Umstand gewertet.

Der vierte Schritt besteht darin, die einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verstöße zu ermitteln. Die in den vorhergehenden oder nachfolgenden Schritten angewandten Erhöhungen dürfen diesen Höchstbetrag nicht überschreiten. Hierbei wird zwischen statischen und dynamischen Obergrenzen die jeweils höhere gewählt. Die Obergrenzen bei Verstößen nach Art. 83 Abs. 4 DSGVO liegen bei zehn Millionen Euro (statisch) oder zwei Prozent des jährlichen Gesamtumsatzes (dynamisch), bei Verstößen nach Art. 83 Abs. 5 und 6 DSGVO liegen sie bei zwanzig Millionen Euro (statisch) oder vier Prozent des jährlichen Gesamtumsatzes (dynamisch). Dabei wird der Unternehmensbegriff aus Kapitel 6 der Leitlinie zugrunde gelegt, nach dem als „Unternehmen“ die wirtschaftliche Einheit (nicht die rechtliche) angenommen wird. Verschiedene Unternehmen, die zum selben Konzern gehören, können eine wirtschaftliche Einheit und damit ein Unternehmen im Sinne der Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) bilden. In diesen Fällen kann der Gesamtumsatz dieses Unternehmens als Ganzes herangezogen werden, um die dynamische Obergrenze der Geldbuße zu bestimmen.

Abschließend wird im letzten Schritt eine einzelfallbezogene Nachjustierung vorgenommen, um den Kriterien Wirksamkeit, Abschreckung und Verhältnismäßigkeit gerecht zu werden. Die vorgenommene Bewertung erstreckt sich auf die Gesamtheit der verhängten Geldbuße und alle Umstände des Falls, einschließlich der Kumulierung mehrerer Verstöße, Erhöhungen und Ermäßigungen aufgrund erschwerender und mildernder Umstände sowie finanzieller/sozioökonomischer Umstände.

Auswirkungen für Unternehmen

Gerade bei umsatzstärkeren Unternehmen dürften die neuen Leitlinien des EDSA zu höheren Geldbußen wegen festgestellter Verstöße führen. Es ist damit zu rechnen, dass auch solche Datenschutzaufsichtsbehörden, die bei der Verhängung von Bußgeldern bislang eher zurückhaltend waren, künftig deutlich höhere Bußgelder verhängen könnten.

Der EDSA geht in seinem Bußgeldkonzept zudem von einer unmittelbaren Unternehmenshaftung aus. Demnach sind alle Handlungen, die von natürlichen Personen, die befugt sind, im Namen eines Unternehmens zu handeln, vorgenommen oder unterlassen werden, diesen zuzurechnen. Sie werden also als eine Handlung und Zuwiderhandlung angesehen, die unmittelbar vom Unternehmen selbst begangen wurde. Die Tatsache, dass bestimmte Mitarbeiter einen Verhaltenskodex nicht eingehalten haben, reicht nicht aus, um die Zurechnung zu verhindern. Sie wird vielmehr nur durchbrochen, wenn die handelnde, natürliche Person ausschließlich für ihre eigenen privaten Zwecke oder für die Zwecke eines Dritten handelt und damit selbst zum für die Verarbeitung Verantwortlichen wird.

Ausblick

Das neue EDSA-Bußgeldmodell löst vorherige Bußgeldkonzepte auf nationaler Ebene ab und soll ein „Level Playing Field“ implementieren. In Zukunft müssen alle Datenschutzbehörden bei der Verhängung von DSGVO-Geldbußen das neue EU-Konzept verbindlich anwenden. Obwohl die Leitlinien bereits anzuwenden waren, konnten bis zum 27. Juni 2022 Anmerkungen zu den Leitlinien eingereicht werden. Die Erfahrungen aus bisherigen Öffentlichkeitsverfahren deuten darauf hin, dass der EDSA das neue Bußgeldkonzept nicht mehr wesentlich anpassen wird.

Handlungsbedarf

  • Identifizierung und Behebung möglicher Schwachstellen im Datenschutz
  • Berücksichtigung der möglichen Risiken aus höheren Geldbußen im Risikocontrolling
  • Erarbeitung von Vermeidungs- und Verteidigungsstrategien