Verstöße gegen die Europäische Datenschutzgrundverordnung (DSGVO) werden von den Datenschutzbehörden der EU-Mitgliedsstaaten mit Bußgeldern geahndet: Die Strafzahlungen können bis zu 20 Millionen EUR, beziehungsweise bis zu 4 Prozent des weltweiten Jahresumsatzes betragen.
Die Festlegung der Höhe der Bußgelder ist bisher Sache der zuständigen nationalen Datenschutzbehörde. Bisher entscheidet jedes EU-Mitgliedsland selbst darüber, wie weit die „bis zu-Werte“ ausgereizt werden, die die DSGVO vorsieht. Für die Bemessung der Bußgeldforderungen gibt es jetzt neue Regeln: Der Europäische Datenschutzausschuss (EDSA) hat die endgültigen Leitlinien zur Bußgeldzumessung angenommen.
In seiner Sitzung von 24.5.2023 hat der Europäische Datenschutzausschuss (EDSA, engl. European Data Protection Board, EDPB) die Leitlinien 04/2022 zur Bußgeldzumessung nach der DSGVO nach einer öffentlichen Konsultation angenommen ( Guidelines 04/2022 on the calculation of administrative fines under the GDPR). Als Repräsentantinnen der deutschen Datenschutzaufsicht waren auf europäischer Ebene die Datenschutzaufsichtsbehörden Berlins, Hessens und des Bundes am Verfahren beteiligt.
Die Leitlinien bieten den Datenschutzaufsichtsbehörden nun einheitliche Maßstäbe und harmonisierte Rahmenbedingungen zur Bestimmung von Bußgeldern. Die Harmonisierung bezieht sich allerdings nur auf die Berechnungsgrundlage der Bußgelder. Die endgültige Höhe der Bußgelder wird durch die Justierungsmöglichkeiten des Leitlinien-Modells weiterhin individuell durch die jeweilige nationale Aufsichtsbehörde festgelegt.
BfDI sieht Vereinheitlichung als Schritt der europäischen Integration
Der oberste deutsche Datenschützer, BfDI Prof. Ulrich Kelber (Bundesbeauftragter für Datenschutz und Informationsfreiheit), begrüßt die Annahme der Leitlinien: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.“
In 5 Schritten zum Bußgeld
Die Leitlinien sehen ein aus 5 Schritten bestehendes Zumessungsverfahren vor, dass insbesondere die Art und Schwere der Verstöße sowie den Umsatz der betreffenden Unternehmen berücksichtigt:
Schritt 1 – Sanktionierbare Handlungen
Die Aufsichtsbehörden prüfen, ob der vorliegende Fall sanktionierbare Handlungen beinhaltet und inwieweit diese zu Verstößen gegen die DSGVO geführt haben. Insbesondere wird dabei geprüft, ob eine oder mehrere bußgeldbewehrte Handlungen vorliegen.
Schritt 2 – Ermittlung des Ausgangsbetrags
Der Ausgangsbetrag für die Bußgeldberechnung wird aus drei Faktoren ermittelt: Der Art der Verstöße (a), der Schwere des Verstoßes (b) und dem Umsatz des Unternehmens (c).
Art des Verstoßes (Art. 83 Abs. 4 – 6 DSGVO)
Verstöße gegen Art. 83 Abs. 4 DSGVO können mit einem Bußgeld von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seinen gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres geahndet werden. Verstöße gegen Art. 83 Abs. 5 und 6 DSGVO können mit einem Bußgeld von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Hierdurch ergeben sich die gesetzlichen Höchstbeträge, die ein Bußgeld jeweils nicht überschreiten darf.
Schwere des Verstoßes
Anhand der in Art. 83 Abs. 2 DSGVO aufgelisteten Kriterien wird die Schwere des Verstoßes festgestellt. Aus der Feststellung muss sich ein Schweregrad ergeben, um den Ausgangsbetrag prozentual vom gesetzlichen Höchstbetrag ermitteln zu können:
- Geringer Schweregrad: Ausgangsbetrag liegt zwischen 0 und 10 % des gesetzlichen Höchstbetrags.
- Mittlerer Schweregrad: Ausgangsbetrag liegt zwischen 10 und 20 % des gesetzlichen Höchstbetrags.
- Hoher Schweregrad: Ausgangsbetrag liegt zwischen 20 und 100 % des gesetzlichen Höchstbetrags.
Der Umsatz des Unternehmens
Mit Blick auf den Umsatz eines Unternehmens werden weitere Korrekturen an dem zuvor ermittelten Ausgangsbetrag vorgenommen. Der Betrag kann auf 0,2 % bis 50 % des ermittelten Ausgangsbetrages reduziert werden.
Schritt 3 – Ermittlung erschwerender oder mildernder Umstände
Die Aufsichtsbehörden ermitteln erschwerende oder mildernde Umstände, die die Höhe des in Schritt 2 festgestellten Betrags erhöhen oder senken können. Dazu gehören z. B. das Verhalten der Verantwortlichen (Kooperationsbereitschaft, Gegenmaßnahmen) und ob es bereits in der Vergangenheit zu Verstößen gegen die DSGVO gekommen. Die Erhöhung oder Senkung des Betrags wird individuell durch die Aufsichtsbehörde vorgenommen.
Schritt 4 – Ermittlung der Obergrenze
Der ermittelte Bußgeldbetrag wird erneut mit den gesetzlichen Höchstbeträgen der Art. 83 Abs. 4 – 6 DSGVO abgeglichen. Dabei wird auch entschieden, ob die statische (10 oder 20 Millionen EUR) oder die dynamische (2 % oder 4 % des Jahresumsatzes) Obergrenze für die Bußgeldbemessung gilt. Nach Art. 83 Abs. 4 und 5 DSGVO muss der jeweils höhere Betrag zugrunde gelegt werden.
Schritt 5 – Mögliche Nachjustierungen
Im letzten Schritt der Bußgeldbemessung bewerten die Aufsichtsbehörden das ermittelte Bußgeld gemäß Art. 83 Abs. 1 DSGVO im Hinblick auf die Wirksamkeit, Verhältnismäßigkeit und Abschreckung, um etwaige Nachjustierungen vornehmen zu können.