Suche

EDSA-Leitlinien zur Berechnung von DSGVO-Bußgeldern

Olivia Josovic

Olivia Josovic

Gastautorin von der activeMind AG

Bußgelder wegen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO) oder nationales Datenschutzrecht fallen in der EU noch sehr verschieden aus. Um die Bußgeldbemessungen der EU-Mitgliedsstaaten zu vereinheitlichen und transparenter zu gestalten, veröffentlichte der Europäische Datenschutzausschuss (EDSA) im Mai 2023 Leitlinien zur Bußgeldberechnung. Wir erklären, womit Unternehmen jetzt rechnen müssen.

Bußgeldberechnung unter der DSGVO

Die Schlagzeilen über Datenschutzverstöße von Unternehmen mit erheblichen Bußgeldern reißen nicht ab. Seien es eine Million Euro Bußgeld wegen der Verletzung mehrerer Betroffenenrechte, 225 Millionen Euro gegen WhatsApp, oder 5.000 Euro Bußgeld wegen unrechtmäßiger Videoüberwachung von Mitarbeitern in einem Hotel.

Grundsätzlich kann die zuständige Aufsichtsbehörde gemäß DSGVO bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Umsatzes des vorgegangenen Geschäftsjahres verhängen – je nachdem, welcher Betrag höher (!) ist.

Zu beobachten ist jedoch seit Inkrafttreten der DSGVO im Jahr 2018 eine sehr heterogene Praxis der Bußgeldverhängung in den einzelnen EU-Mitgliedsstaaten. Die irische Aufsichtsbehörde wollte sogar ein Bußgeld gegen Meta nicht verhängen und musste nach Widerspruch anderer europäischer Datenschutzbehörden vom EDSA gezwungen werden, ein entsprechend hohes Bußgeld zu verhängen.

Leitlinie des EDSA zur Bußgeldberechnung

Angesichts der unterschiedlichen Höhe der in der Vergangenheit verhängten Bußgelder gibt der EDSA nun Maßstäbe vor, nach denen europäischen Datenschutzbehörden bei der Berechnung der Geldbußen entscheiden sollen. Die Leitlinien sehen ein aus fünf Schritten bestehendes Berechnungsverfahren vor:

1. Welche Verstöße liegen vor?

Als ersten Schritt ist vorgegeben, dass die Datenschutzbehörden festzustellen haben, welches Verhalten sanktionierbar ist und ob es sich bei dem betreffenden Vorfall um eine einzelne Handlung oder mehrere Handlungen handelt. Die Behörde kann bei Vorliegen einer Vielzahl von Verstößen jeden einzelnen berücksichtigen. Dadurch kann das Bußgeld deutlich höher ausfallen. Dennoch ist Art. 83 Abs. 3 DSGVO zu beachten, so dass der Gesamtbetrag der Geldbuße den Höchstbetrag des schwerwiegendsten Verstoßes nicht übersteigen darf.

2. Was sind Ausgangspunkt und Obergrenze des Bußgeldes?

Als zweiten Schritt für die Berechnung legt die Leitlinie einen Ausgangspunkt zugrunde, der für jeden einzelnen Verstoß eine Basis der Bußgeldhöhe festlegen soll. Dieser Schritt ist der zentrale Bestandteil der Leitlinie. Zunächst muss die Aufsichtsbehörde feststellen, welche Obergrenze des Bußgeldes für den jeweiligen Verstoß gelten soll. Es könnten hierbei zwei Werte berücksichtigt werden:

  • entweder nach Art. 83 Abs. 4 DSGVO 10 Millionen EUR bzw. 2% des globalen Vorjahresumsatzes,
  • oder nach Art. 83 Abs. 5, Abs. 6 DSGVO 20 Millionen EUR bzw. 4 % des Vorjahresumsatzes.

Dabei ist die Art, die Kategorie der betroffenen personenbezogenen Daten, die Schwere des Verstoßes und der Umsatz des betreffenden Unternehmens zu berücksichtigen.

Die Schwere des Verstoßes ist in drei Stufen einzuteilen: niedrig, mittel und schwer. Für eine niedrige Kategorie der Schwere beträgt der Ausgangspunkt für die Berechnung 0-10% der jeweiligen Obergrenze. Bei hoher Schwere liegt der Ausgangspunkt bei 20-100% der Obergrenze.

Des Weiteren ist die Art der Verarbeitung bei der Bewertung des Ausgangspunktes zu berücksichtigen. Somit kann die Behörde Verarbeitungen, die Überwachungs- bzw. Bewertungstätigkeiten darstellen, eine höhere Schwere zuweisen. Ebenfalls ist von der EDSA-Leitlinie vorgegeben, dass bei einer hohen Anzahl an betroffenen Personen die Schwere ebenfalls hoch einzustufen ist. Das bedeutet, je weitreichender der Verstoß, desto höher auch das Bußgeld.

3. Wie hoch ist der Umsatz und gibt es andere mildernde oder verschärfende Umstände?

Nachdem der Ausgangswert ermittelt wurde, ist im nächsten Schritt der Umsatz des betreffenden Unternehmens zu berücksichtigen. Dieser kann sich nochmals auf den Ausgangsbetrag auswirken. Sollte ein Unternehmen einen sehr geringen Umsatz, bspw. in Höhe von bis zu 2 Millionen Euro erwirtschaften, kann sich somit der Ausgangsbetrag um bis zu 0,2 % reduzieren. Bei einem Umsatz von mehr als 250 Millionen Euro reduziert sich der Ausgangsbetrag auf bis zu 50%. Grundsätzlich bedeutet das, je höher der Umsatz, desto höher ist der Ausgangsbetrag. Das hat den Zweck, dass auch große Unternehmen angemessene und abschreckende Strafen erhalten. Ob dies in der Praxis dann auch wirklich eintritt ist abzuwarten.

Folgendes Beispiel soll den dritten Schritt des Berechnungsverfahrens verdeutlichen:

Angenommen, ein Unternehmen hat im letzten Geschäftsjahr einen Umsatz von 300 Millionen Euro erzielt und soll wegen eines Datenschutzverstoßes bestraft werden. In diesem Beispiel beträgt der Ausgangsbetrag aufgrund der Art und Schwere des Verstoßes eine Million Euro, es wurden dabei keine mildernden oder erschwerenden Faktoren berücksichtigt. Nun kommt der Umsatz des Unternehmens ins Spiel. Die Reduzierung beträgt hier 0,2 % je eine Million Euro Umsatz. Somit ergibt sich eine Reduzierung von 600.000 Euro (0,2 % x 300 Millionen Euro). Der Bußgeldbetrag beträgt somit nach der Reduzierung 400.000 Euro.

Des Weiteren ist durch die Aufsichtsbehörde zu prüfen, ob es gem. Art. 83 Abs. 2 DSGVO mildernde oder erschwerende Faktoren gibt, die das Bußgeld verringern bzw. erhöhen. Dabei können u.a. auch vergangene Erfahrungen mit dem Verantwortlichen bzw. dem Auftragsverarbeiter in die Bewertung einfließen. Ein weiterer Umstand, der ebenfalls berücksichtigt werden und zu einer Milderung des Bußgeldes führen kann, ist eine gute Zusammenarbeit mit der Aufsichtsbehörde, um negativen Folgen zu begrenzen oder gar zu vermeiden. Sollte die Aufsichtsbehörde allerdings zu dem Entschluss kommen, dass erschwerende Umstände vorliegen, könnte beispielsweise aus anfänglichen 150.000 Euro Bußgeld ein Betrag von 200.000 Euro werden.

4. Welcher Höchstbetrag darf angewandt werden?

Als vierten Schritt sind die gesetzlichen Höchstbeträge gem. Art. 83 Abs. 4-6 DSGVO einzubeziehen. Dabei sollte darauf geachtet werden, dass diese nicht überschritten werden.

5. Wird bei gewahrter Verhältnismäßigkeit eine abschreckende Wirkung erzielt?

Letztendlich ist von der Behörde zu prüfen, ob der Endbetrag zum einen die gewünschte abschreckende Wirkung erzielt und zum anderen die Verhältnismäßigkeit gegeben ist oder weitere Anpassungen bzgl. der Höhe des Betrags erforderlich sind.

Bedeutung der Bußgeld-Leitlinie für Unternehmen

Die EU-weite Vereinheitlichung des Bußgeld-Berechnungsverfahrens könnte für Unternehmen in Zukunft zur Folge haben, dass sie für Verstöße gegen die DSGVO höhere Bußgelder erhalten als zuvor. Dies trifft insbesondere Unternehmen in EU-Mitgliedsstaaten, deren Aufsichtsbehörden bisher eher zurückhaltend bei der Verhängung von Bußgeldern waren.

Ein positiver Effekt für Unternehmen ist aber die damit einhergehende Rechtssicherheit, die durch die Vereinheitlichung gewährleistet wird. Zudem wird die Transparenz erhöht, Unternehmen können besser einschätzen, welche Faktoren bei der Bußgeldberechnung berücksichtigt werden, und dies in ihre Risikoanalysen einfließen lassen.

Fazit

Auch wenn das Verfahren des EDSA darauf abzielt, eine Vereinheitlichung der Bußgeldhöhe in den Mitgliedsstaaten zu erreichen, bleibt abzuwarten, ob dieser Effekt tatsächlich eintritt. Denn die Aufsichtsbehörden verfügen trotz der vorgegebenen fünf Schritte weiterhin über einen großen individuellen und auf den Einzelfall bezogenen Entscheidungsspielraum.

Abzuwarten bleibt auch, ob die geplante DSGVO-Durchsetzungsverordnung, die grenzüberschreitende Verfahren von Aufsichtsbehörden optimieren soll, auf den Bereich der Bußgelder und Bußgeldhöhe Auswirkungen hat.

Haben Sie einen Bußgeld-Bescheid bekommen?

Unsere Anwälte prüfen Bescheide von Aufsichtsbehörden, geben Tipps zum Umgang und schützen Ihre Rechte.

Kontaktieren Sie uns!

Sichern Sie sich das Wissen unserer Experten!

Abonnieren Sie unseren Newsletter: