Einheitliche Bußgeldpraxis: EDSA legt Leitlinien vor

Einheitliche Bußgeld-Methode und mehr Transparenz

Der Europäische Datenschutzausschuss (EDSA) ist die das gemeinsame Abstimmungsgremium der EU-Datenschutzbehörden. Er legte am 12. Mai 2022 die Leitlinien 04/2022 zur Berechnung von Bußgeldern nach der Europäischen Datenschutz-Grundverordnung (DSGVO) vor. Seine Vorsitzende Andrea Jelinek erklärte dazu in einer Pressemitteilung:

„Von nun an werden die Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum dieselbe Methode zur Berechnung von Geldbußen anwenden. Dies wird zu einer weiteren Harmonisierung und Transparenz der Bußgeldpraxis der Datenschutzbehörden beitragen.“

Wichtiger Baustein für mehr Rechtsklarheit bei Bußgeldern

Das sieht auch Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BaWü), so. Er begrüßt in seiner Pressemitteilung die Leitlinien „als einen wichtigen Baustein zur einheitlichen Anwendung der Datenschutz-Grundverordnung“ und ist sich sicher, dass sie „für Rechtsklarheit in zentralen Fragen der Bußgeldbemessung“ sorgen.

Die Datenschutzkonferenz (DSK) fordere das schon lange und habe unter seiner Federführung im Oktober 2019 ein eigenes Konzept zur Bußgeldzumessung erstellt (wir berichteten) Das Landgericht Bonn hatte das Konzept jedoch im November 2020 verworfen (wir berichteten), da es den Einzelfall zu wenig berücksichtige.

Individuelle Umstände spielen wichtige Rolle

Diese Kritik ist in die neue EDSA-Leitlinie zu Bußgeldern eingeflossen – und Jelinek betont: „Die individuellen Umstände eines Falles müssen immer ein entscheidender Faktor sein, und die Datenschutzbehörden spielen eine wichtige Rolle, um sicherzustellen, dass jede Geldbuße wirksam, verhältnismäßig und abschreckend ist.“

Fünf Schritte zur Berechnung von Bußgeldern

Für die konkrete Berechnung schlägt der EDSA den Datenschutzbehörden in den EU-Mitgliedstaaten ein Vorgehen in fünf Schritten vor:

Schritt 1: Zahl der Verstöße feststellen

Im ersten Schritt – der in Kapitel 3 der Leitlinien beschrieben ist – müssen die Datenschutzbehörden prüfen, wie viele sanktionierbare Handlungen vorliegen.

• Handelt es sich um einen oder mehrere Verstöße, die geahndet werden müssen?

Schritt 2: Basisbetrag für die Berechnung der Höhe der Geldbuße ermitteln

Im zweiten Schritt – der in Kapitel 4 der Leitlinien beschrieben ist – ermitteln die Behörden den Basisbetrag für die weitere Berechnung der Höhe der Geldbuße. Sie prüfen:

• Wie sind die Umstände des Einzelfalls und die Schwere der Zuwiderhandlung und wie hoch ist der Umsatz des Unternehmens?

Schritt 3: Mildernde und erschwerende Umstände prüfen

Im dritten Schritt – der in Kapitel 5 der Leitlinien beschrieben ist – bewerten die Datenschutzbehörde die Umstände des Datenschutzverstoßes:

• Gibt es mildernde Umstände oder erschwerende Umstände in Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Unternehmens, die sich auf die Höhe des Bußgelds auswirken?

Schritt 4: Obergrenze des Bußgelds festlegen

Im vierten Schritt – in Kapitel 6 beschrieben – ermitteln die Behörden die einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verstöße und fragen:

• Wenden wir die statische Obergrenze von 10 bzw. 20 Millionen Euro oder die die dynamische von 2 bzw. 4 Prozent des Jahresumsatzes des Unternehmens an?

Schritt 5: Individuell nachjustieren

Im fünften und letzten Schritt – siehe Kapitel 7 der Leitlinien – geht es um eine Nachjustierung im individuellen Einzelfall. Erneut fragen die Behörden

• Welcher Betrag ist in diesem konkreten Fall wirksam, verhältnismäßig und abschreckend?

Konsequenzen für Unternehmen

Der EDSA spricht in seinen Leitlinien ausdrücklich von einer „direct corprate liability“, also einer direkten Unternehmenshaftung.

Der Jurist und Datenschutzexperte Tim Wybitul hat deshalb – in einem Gastbeitrag für das Online-Magazin LTO – einen dringenden Rat an Unternehmen: „Vor allem sollten sie ihr Management über die veränderte Sachlage und Risikolandschaft informieren. Auf dieser Basis lassen sich resultierende Risiken richtig bewerten, entsprechende Vermeidungs- und Verteidigungsstrategien entwickeln sowie konkrete Handlungsempfehlungen formulieren und umsetzen.“

Denn: „Gerade bei umsatzstarken und großen Unternehmen dürften die Vorgaben des EDSA künftig zu höheren Geldbußen wegen festgestellten Verstößen führen.“

Die Leitlinie ist noch nicht in ihrer endgültigen Fassung veröffentlicht. Bis zum 27. Juni steht sie noch zur öffentlichen Konsultation.

Mehr Informationen:

• Guidelines 04/2022 on the calculation of administrative fines under the GDPR: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-042022-calculation-administrative_en
• Pressemitteilung des EDSA vom 16. Mai 2022: https://edpb.europa.eu/news/news/2022/edpb-adopts-guidelines-calculation-fines-guidelines-use-facial-recognition_en
• Pressemitteilung des LfDI Baden-Württemberg vom 19. Mai 2022: https://www.baden-wuerttemberg.datenschutz.de/europa-einheitliche-sanktionierung-von-datenschutzverstoessen/
• Gastbeitrag von Tim Wybitul auf LTO vom 20. Mai 2022: https://www.lto.de/recht/kanzleien-unternehmen/k/datenschutz-verstoesse-unternehmen-bussgeld-eu-dsgvo-leitlinien-edsa/
• Bußgeldkonzept der DSK: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
• Berichte in der Datenschutz Praxis über das DSK-Bußgeldkonzept: https://www.datenschutz-praxis.de/pleiten-pech-pannen/modell-aufsichten-zur-berechnung-bussgelder/ und https://www.datenschutz-praxis.de/pleiten-pech-pannen/geldbussen-nach-der-dsgvo-auf-dem-pruefstand/

Elke Zapf