Neue Leitlinien des EDSA zur Berechnung von Bußgeldern
Am 12. Mai 2022 hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zur Berechnung von Bußgeldern im Rahmen der Datenschutz-Grundverordnung (DSGVO) verabschiedet. Ziel dieser Leitlinien ist es, die Handhabung der datenschutzrechtlichen Bußgeldbestimmungen europaweit zu vereinheitlichen. Den allgemeinen Bedingungen für die Verhängung von Geldbußen (Art. 83 DSGVO) entsprechend, enthalten die Leitlinien keine einfach gestrickten Bußgeldkataloge, sondern stellen eine komplexe Methode vor, um vom je zulässigen Maximalbußgeld auf das im Einzelfall angemessene Bußgeld zu schließen.
Im Einzelnen sehen die Leitlinien fünf Schritte zur Berechnung von Bußgeldern vor:
Zunächst sind die relevanten Verarbeitungsvorgänge zu identifizieren (Schritt 1) und ein Ausgangspunkt für die weitere Berechnung zu ermitteln (Schritt 2); dabei sind insbesondere Art (a) und Schwere (b) des Verstoßes sowie der Umsatz des betroffenen Unternehmens (c) zu berücksichtigen. In Schritt 3 sind dann erschwerende sowie mildernden Umstände abzuwägen; anschließend wird kontrolliert, ob sich das so ermittelte Bußgeld noch innerhalb des gesetzlichen Rahmens bewegt (Schritt 4). Im fünften und letzten Schritt wird dann noch einmal überprüft, ob das Bußgeld gleichermaßen wirksam, abschreckend und verhältnismäßig ist – und gegebenenfalls angepasst.
Was bedeuten die neuen Leitlinien für die Bußgeldpraxis in Deutschland?
Die neuen Leitlinien erinnern stark an das Konzept der deutschen Datenschutzaufsichtsbehörden in Verfahren gegen Unternehmen vom 14. Oktober 2019 (Bußgeldkonzept). Da die Leitlinien der EDSA zudem wiederholt betonen, dass sich jede schematische Lösung verbiete und es allein Sache der nationalen Aufsichtsbehörden sei, im Einzelfall angemessene Bußgelder zu verhängen, dürfte sich die überkommene Behördenpraxis hierzulande kaum ändern. Nach dem Bußgeldkonzept erfolgt die Bußgeldzumessung in Verfahren gegen Unternehmen ebenfalls in fünf Schritten: Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (Schritt 1), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe bestimmt (Schritt 2), ein wirtschaftlicher Grundwert ermittelt (Schritt 3), dieser Grundwert mit einem Faktor multipliziert, der sich aus der Schwere des Verstoßes ergibt (Schritt 4), und der so ermittelte Wert abschließend mit Blick auf noch nicht berücksichtigte Umstände angepasst (Schritt 5).
Worin unterscheiden sich die Bußgeldkonzepte des EDSA und der Deutschen Aufsicht?
Aus einem Vergleich der beiden Dokumente ergibt sich, dass der europäische Schritt 2 c) im Wesentlichen den deutschen Schritten 1 bis 3 entspricht; umgekehrt entsprechen die europäischen Schritte 2 a), 2 b) und 3 dem deutschen Schritt 4. Das ist kein Zufall: Bereits auf der Oberfläche beider Dokumente fokussiert das achtseitige deutsche Konzept stärker auf eine möglichst genaue Bestimmung des Umsatzes, wohingegen die vierzigseitigen Leitlinien aus Brüssel den Schwerpunkt auf Art und Schwere des entsprechenden Verstoßes legt. Dazu nennt der EDSA verschiedene Beispiele und Kriterien wie die Anzahl betroffener Personen, die Dauer des Verstoßes oder die Frage nach Vorsatz und Fahrlässigkeit.
Die Leitlinien betonen laufend, dass es nicht um eine mathematische Berechnung des Bußgeldes, sondern um eine gewissenhafte Abwägung der relevanten Umstände gehe; gleichwohl geben sie den Aufsichtsbehörden mehrere Topoi an die Hand, um einen angemessenen Bußgeldrahmen zu bestimmen. So empfiehlt der EDSA beispielsweise nach leichten, mittleren und schweren Verstößen zu differenzieren und dementsprechend 0 bis 10%, 10 bis 20% oder 20 bis 100% des zulässigen Höchstbußgeldes zu veranschlagen. Abhängig vom Jahresumsatz des betroffenen Unternehmens kann dieser Prozentsatz dann weiter gemindert werden. So soll das Bußgeld bei einem Jahresumsatz von zwei Millionen Euro oder weniger auf bis zu 0,2% des Betragesgesenkt werden können, der zuvor anhand des Maximalbußgeldes bestimmt wurde. Wird also beispielsweise ein mittelschwerer Verstoß gegen die DSGVO in einem kleinen Unternehmen festgestellt, so soll sich das Bußgeld in einem Rahmen von 2.000 bis 2.000.000 bewegen (0,2% des niedrigsten Ausgangspunktes bzw. 20% des maximalen Bußgelds). Diese Vorgaben dürften besonders jene Behörden unter Rechtfertigungsdruck setzen, die in der Vergangenheit zu eher laxen Bußgeldern tendiert haben.
Das könnte Sie auch interessieren:
Wichtige Neuerung: EDSA spricht sich für das sogenannte Funktionsträgerprinzip aus!
Eine für Deutschland wesentliche Neuerung enthalten schließlich die Ausführungen des EDSA zur Haftung im Unternehmen. Zwischen deutschen Gerichten war bislang umstritten, ob die Haftung aus Art. 83 DSGVO an die Handlung einer natürlichen Person anknüpft (Rechtsträgerprinzip) oder ob eine unmittelbare Verbandshaftung über die Grundsätze des europäischen Kartellrechts begründet werden kann (Funktionsträgerprinzip).
Konkret entzündete sich die Diskussion an der Frage, ob ein Unternehmen für das Fehlverhalten einzelner Mitarbeiter haftet oder ob es darüber hinaus einer Art Aufsichtsversagens bedarf. Das Landgericht Bonn urteilte Ende 2020, sanktioniert werde der Datenschutzverstoß selbst (und nicht: die dafür ursächliche Handlung); das Landgericht Berlin entschied demgegenüber Anfang 2021, dass die Feststellung eines vorwerfbaren Verhaltens Grundvoraussetzung für die Begründung unternehmerischer Verantwortlichkeit sei. Unter Berufung auf die Rechtsprechung des Europäischen Gerichtshofs erteilt der EDSA dem Rechtsträgerprinzip nun eine klare Absage: die betreffenden Unternehmen hafteten selbst und unmittelbar für zurechenbare Handlungen. Aufsichtsbehörden und Gerichte seien daher nicht verpflichtet, eine natürliche Person zu benennen oder auch nur zu ermitteln; etwaige entgegenstehende Bestimmungen – beispielsweise die §§ 30, 130 des Gesetzes über Ordnungswidrigkeiten – seien mit dem unionsrechtlichen Grundsatz der Effektivität unvereinbar und dürften daher nicht angewendet werden. Die Vorgaben des EDSA dürften damit auch Auswirkungen auf das laufende Beschwerdeverfahren gegen die Entscheidung des Berliner Landgerichts haben.
Laut Pressemitteilung des EDSA werden die Leitlinien nun sechs Wochen lang online ausgelegt; nach Ablauf dieser Frist wird eine endgültige Fassung verabschiedet, die eingegangene Rückmeldungen berücksichtigen und eine Referenztabelle enthalten soll. Die Leitlinien können sich also noch ändern. Gleichwohl sind sie in ihrer Stoßrichtung schon jetzt zu begrüßen. Die Leitlinien liefern einen relevanten Beitrag, die anhaltende Rechtsunsicherheit zu mitgieren, die insbesondere aus der uneinheitlichen Gesetzesanwendung deutscher und europäischer Behörden und Gerichte resultiert. Allerdings lässt sich die Höhe etwaiger Bußgelder allein auf Grundlage der neuen Leitlinien noch immer nicht genau vorhersehen. Kontaktieren Sie uns gerne, wenn Sie weitergehende Fragen oder Beratungsbedarf zum Datenschutz, zu Aufsichtsbehörden oder etwaigen Bußgeldverfahren haben.