Der Europäische Datenschutzausschuss (EDSA) veröffentlichte am 12.05.2022 eine gemeinsame Methodik zur Berechnung von Bußgeldern bei Verstößen gegen die DSGVO. Das Konzept des EDSA soll zu einer weitgehenden Harmonisierung und Transparenz bei der Sanktionierungspraxis führen. Die neuen Leitlinien sollen auch das umstrittene (nationale) Bußgeldbemessungskonzept der deutschen Datenschutzkonferenz (DSK) von Oktober 2019 ablösen. Drohen jetzt höhere Bußgelder oder verringern die Leitlinien das Risiko?
Bußgeldberechnung
Die Leitlinien des EDSA sehen eine fünfstufige Berechnungsmethodik für die Verhängung von Bußgeldern bei Verstößen nach der DSGVO vor:
1. Identifikation der unzulässigen Verarbeitungen und Prüfung, ob ein oder mehrere zu ahnende Verstöße vorliegen.
2. Einstufung der Schwere des Verstoßes bzw. der Verstöße nach Qualität und Dauer, der Kategorien betroffener Daten sowie anhand des Vorsatz- oder Fahrlässigkeitsgrades und Identifikation des Umsatzes der Unternehmensgruppe als Faktor für die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße
- Ausgangsbetrag: Bei der Berechnung der Geldbuße für Verstöße mit geringer Schwere liegt der Ausgangsbetrag für die weitere Berechnung auf einen Wert zwischen 0 und 10%, bei mittelschweren Verstößen zwischen 10% und 20% und bei schweren Verstößen zwischen 20% und 100% der in Art. 83 DSGVO geregelten Höchstbeträge (also bis zu 10 bzw. 20 Mio. Euro oder 2% bzw. 4% des Jahresumsatzes, je nachdem, welcher Betrag höher ist).
- Korrektur: Abhängig davon, wie hoch der Umsatz eines Unternehmens ist, wird der Ausgangsbetrag korrigiert. Er beträgt 0,2% bis 50% des Ausgangsbetrags, je nach Jahresumsatz. Dieses Ergebnis wird „Grundbetrag“ genannt.
Durch die Korrektur wird der für kleinere Unternehmen ungleich abschreckendere Bußgeldrahmen der DSGVO korrigiert. Zur Erinnerung: Ein Bußgeld darf nach Art. 83 Abs. 5 DSGVO bis zu 10 bzw. 20 Mio. Euro oder 2% bzw. 4% des Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Das bedeutet für ein kleines Unternehmen mit 500.000 Euro Jahresumsatz theoretisch, dass es ein Bußgeld bis zu 20 Mio. Euro erwarten kann, während ein Unternehmen mit einem Jahresumsatz von 500 Mio. Euro auch ein Bußgeld von maximal 20 Mio. Euro zu erwarten hat (4% von 500 Mio. = 20 Mio.). Diese Ungleichheit korrigiert das Bußgeldkonzept, indem von dem zunächst nur anhand der Schwere des Verstoßes errechneten Grundbetrag nochmal ein gewisser Prozentsatz abgezogen wird, abhängig davon, wie groß der Umsatz eines Unternehmens ist.
3. Identifikation von erschwerenden oder mildernden Umständen, auch im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Verantwortlichen (z.B. Kooperation, Transparenz, Ergriffene Gegenmaßnahmen), die den Grundbetrag aus Schritt 2 erhöhen oder verringern. Diese Erhöhungen oder Ermäßigungen werden nicht durch Prozentsätze im Voraus festgelegt, sondern die tatsächliche Bezifferung der Geldbuße wird von der Abwägung aller gesammelten Umstände des Einzelfalls abhängig gemacht. In den Beispielen des EDSA können so Erhöhungen oder Ermäßigungen nochmal im Bereich von 30-40% vorgenommen werden, ohne dass der EDSA auch noch größere Anpassungen ausschließen würde.
4. Ermittlung der gesetzlichen Höchstwerte, die keinesfalls überschritten werden dürfen
5. Einzelfallanalyse mit Verhältnismäßigkeitsprüfung
Zusammengefasst wird für die Berechnung eines Bußgeldes also zunächst ein Grundbetrag gebildet, der anhand der Schwere des Verstoßes und des Unternehmensumsatzes bestimmt wird (Schritte 1-2). Dieser Betrag kann anschließend aufgrund erschwerender oder mildernder Umstände angepasst werden (Schritt 3) und ist dann daraufhin zu überprüfen, dass die nach DSGVO festgelegten Höchstwerte (10 bzw. 20 Mio. Euro oder – je nachdem, was höher ist – 2% bzw. 4% des Jahresgruppenumsatzes des vergangenen Jahres) nicht überschritten werden. Abschließend (Schritt 5) muss eine Einzelfallanalyse erfolgen, ob die erwogene Geldbuße verhältnismäßig ist.
Verbindlichkeit
Die EDSA Leitlinien sind weder für die nationalen Datenschutzaufsichtsbehörden, noch für Gerichte rechtsverbindlich. Sie dienen lediglich als Auslegungshilfe. In der Praxis haben die Leitlinien des EDSA allerdings erfahrungsgemäß erhebliche Auswirkungen auf Behördenentscheidungen.
Drohen nun höhere oder geringere Bußgelder als nach dem Bemessungskonzept der DSK?
Einiges spricht dafür, dass die neuen Leitlinien das bisherige Bußgeldbemessungskonzept der DSK ersetzen. Dieses stand aufgrund seiner schematischen Herangehensweise ohnehin in der Kritik und hat ersten gerichtlichen Überprüfungen auch nicht standgehalten.
Müssen sich Unternehmen nun auf höhere oder niedrigere Strafen einstellen und inwiefern ist das Ganze kalkulierbar?
Der EDSA betont in der Einleitung des neuen Bußgeldkonzepts, dass die Bestimmung einer Geldbuße keine mathematische Aufgabe ist. Ganz vorhersehbar werden Geldbußen folglich auch in Zukunft nicht sein. Vergleicht man die Herangehensweise des EDSA-Konzeptes allerdings mit dem der DSK, fällt auf, dass die Grundbeträge für Bußgelder, die dann nochmals aufgrund erschwerender oder mildernder Umstände angepasst werden, erheblich geringer ausfallen. Ein Unternehmen mit einem Jahresumsatz von 500 Mio. Euro hätte bei einem schweren Verstoß nach dem DSK-Konzept einen Grundbetragsrahmen zwischen ca. 11,1 und 16,6 Mi. Euro zu befürchten. Nach dem EDSA-Konzept läge der Grundbetrag zwischen 2 und 10 Mio. Euro. Ein Unternehmen mit einem Jahresumsatz von 150 Mio. Euro hätte bei einem leichten Verstoß nach dem DSK-Konzept einen Grundbetragsrahmen von 416.000-1,664 Mio. Euro zu erwarten. Nach dem EDSA-Konzept läge der Rahmen für den Grundbetrag zwischen 0 und 400.000 Euro.
Anpassungen sind auch nach der Festlegung des Grundbetrags noch in beide Richtungen möglich (Schritt 3). Dennoch könnten die niedrigeren Grundbeträge nach dem EDSA-Konzept tendenziell auch zu niedrigeren Bußgeldern führen. Ob das am Ende allerdings so kommt und ob und wie die Regelungen des EDSA-Konzepts in der Praxis angewendet werden, bleibt abzuwarten. Bis zum 27. Juni können noch Stellungnahme eingereicht werden und der EDSA daran anknüpfend noch Änderungen vornehmen.