EDSA beschließt einheitliches Bußgeldberechnungsmodell für Datenschutzverstöße

Das Thema Bußgeld ist im Zusammenhang mit der DSGVO (Art. 83 ff DSGVO) nicht unbekannt. Bereits in der Vergangenheit haben wir zum Beispiel hier, hier und hier dazu berichtet. Nun gibt es wieder etwas Neues: Der Europäische Datenschutzausschuss (EDSA) hat am 12. Mai 2022 ein neues Bußgeldmodell in Form einer Leitlinie beschlossen, das vor allem für große und umsatzstarke Unternehmen zu erheblichen Risiken führen kann. Die Leitlinie soll das Working Paper 253 der Datenschutzkonferenz (DSK) ergänzen, das die Umstände für die Entscheidung über die Erteilung eines Bußgeldes zum Gegenstand hat. Hierüber hatten wir bereits in der Vergangenheit berichtet. Das beschlossene Modell soll in der EU und dem EWR zu einer Vereinheitlichung der Geldbußen für festgestellte Verstöße gegen die DSGVO führen und ist verbindlich durch die nationalen Aufsichtsbehörden umzusetzen. Das Modell des EDSA geht umfangreicher darauf ein, welche Umstände sich negativ, neutral oder positiv auf die zu verhängende Strafe auswirken. Anders als bei dem in Deutschland seit 2019 vorliegenden Modell zur Bußgeldberechnung der DSK gibt es auch keine festen Multiplikatoren, die je nach Schwergrad des Verstoßes zur Anwendung kommen sollten.

Aus diesem Beschluss resultieren neue Risiken für Unternehmen beim Verstoß gegen die DSGVO.

Folgen aus dem neuen Bußgeldmodell

Verstöße gegen die Datenschutzvorschriften könnten Unternehmen in Zukunft teurer zu stehen kommen als bislang. Mit steigenden Umsätzen steigt auch nach der Methodik des EDSA die Bußgeldhöhe. Gerade bei Unternehmen mit hohen Umsätzen kann das zu extrem hohen Bußgeldern führen. Ganz deutlich hebt der EDSA hervor, dass ein Fehlverhalten der Beschäftigten dem Unternehmen grundsätzlich unmittelbar zurechenbar ist.

Was bedeutet das Bußgeldmodell für bereits laufende Bußgeldverfahren? 

Aktuell wird das Bußgeldmodell noch nicht einheitlich angewandt. Teilweise berücksichtigen Aufsichtsbehörden das Modell bereits jetzt in ihren Entscheidungen. Es gibt durchaus Behörden, die die einheitlichen Bußgelder begrüßen; nicht alle Behörden sehen dies jedoch so. Spätestens wenn das Bußgeldmodell final verabschiedet ist, werden sich alle Datenschutzbehörden der EU an diese Vorgaben halten müssen. Sofern sich einzelne Behörden nicht an die Regelungen halten sollten, könnten sie dann mittels des Kohärenzverfahrens dazu gezwungen werden.

Die EDSA-Leitlinien sind zwar zum einen bereits verbindlich, zum anderen aber auch Teil eines öffentlichen Konsultationsverfahrens. Stellungnahmen können noch bis zum 27. Juni 2022 abgegeben werden. Es ist also möglich, dass noch Anpassungen folgen.

Neben den höheren Bußgeldern für umsatzstarke Unternehmen bietet das Modell auch eine Reihe von Regelungen, die es den Datenschutzbehörden in Einzelfällen ermöglichen, Bußgelder auch nach unten anzupassen. Diese niedrigere Bemessung dürfte aller Voraussicht nach – wenn überhaupt – in wirtschaftlich schwächeren Ländern Anwendung finden.

In der Vergangenheit wurde vermehrt Kritik an der Bußgeldpraxis mancher Mitgliedstaaten geäußert. Einige Mitgliedstaaten haben bisher eher niedrige Bußgelder verhängt. Hierzu gehört auch Deutschland – trotz des eigentlich recht „gnadenlosen“ Bußgeldberechnungsmodells (siehe oben). Für die Zukunft ist zu erwarten, dass diese Mitgliedsstaaten künftig zu höheren Geldbußen greifen.

Festlegung der Bußgeldhöhe

Für die Berechnung von Bußgeldern sind nach dem neuen Modell 5 Schritte zu durchlaufen. Der EDSA hebt hervor, dass für die Berechnung der Bußgeldhöhe stets die Umstände entscheidend sind und jeder einzelne Fall individuell zu betrachten ist. Dies macht deutlich, dass die Höhe des Bußgeldes nicht immer ausschließlich anhand einer Formel berechnet oder gar aus einem Bußgeldkatalog entnommen werden kann.

Folgende Schritte sind für die Berechnung von Bußgeldern durchzuführen:

  1. Identifizierung der gegenständlichen Verarbeitungsvorgänge und Feststellung, ob Art. 83 Abs. 3 DSGVO einschlägig ist
  2. Bestimmung des Ausgangswertes für die Bußgeldberechnung in Abhängigkeit von
  1. Anpassung des Wertes anhand verschärfender oder mildernder Umstände im früheren oder gegenwärtigen Verhalten des Verantwortlichen/Auftragsverarbeiters
  2. Identifizierung der relevanten Maximalbeträge für die verschiedenen Verarbeitungsvorgänge als Höchstgrenze der Geldbuße
  3. Bewertung des Betrages in Bezug darauf, ob die Geldbuße wirksam, abschreckend und verhältnismäßig ist nach Art. 83 Abs. 1 DSGVO

Schlussendlich darf das verhängte Bußgeld jedoch nicht über dem gesetzlichen Höchstbetrag (20 Mio. Euro für Verantwortliche mit einem Jahresumsatz < 500 Mio., oder 4% des Jahresumsatzes bei Verantwortlichen mit einem höheren Umsatz) liegen.

Was ist nun zu tun?

Direkt etwas tun können Sie nur insofern, dass Sie die Wahrscheinlichkeit eines Bußgelds verringern. Hierzu gehört beispielsweise, Ihre Beschäftigten angemessen zu sensibilisieren. Dies findet übergeordnet am besten in Form von Schulungen statt. Darüber hinaus sollten aber auch Arbeitsanweisungen und Prozesse im Unternehmen etabliert (und schriftlich dokumentiert – wir empfehlen, ein Datenschutzhandbuch zu erstellen) sein, die vor Datenschutzverstößen schützen. Meist ist es sinnvoll auch spezielle Fachbereiche wie HR, IT oder Betriebsrät*innen gesondert zu schulen und für diese Personenkreise jeweils auf spezielle Themen einzugehen. Wichtig ist darüber hinaus, aus Vorfällen der Vergangenheit zu lernen, Handlungsbedarf zu identifizieren und daraus die notwendigen Maßnahmen abzuleiten und umzusetzen. Nur mit Hilfe von gut geschulten Beschäftigten kann vermieden werden, dass es zu Datenschutzverstößen kommt. Fallstricke können so leicht vorab erkannt werden.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.