ZUSATZ INFORMATIONEN
Verstöße gegen die Datenschutzvorschriften könnten Unternehmen in Zukunft teurer zu stehen kommen als bisher, denn die Datenschutzbehörden der Europäischen Union haben strenge Leitlinien beschlossen, um die Berechnung von Geldbußen nach der DSGVO unionsweit zu vereinheitlichen.
Der Europäische Datenschutzausschuss (EDSA) ist das gemeinsame Abstimmungsgremium der EU-Datenschutzbehörden. Der EDSA hat am 12. Mai 2022 ein Bußgeldmodell beschlossen, das vor allem für große und umsatzstarke Unternehmen zu erheblichen Risiken führt. Gerade für sie könnte das neue Berechnungsmodell hohe Bußgelder bei Verstößen gegen den Datenschutz mit sich bringen. Das Konzept soll in der EU und dem Europäischen Wirtschaftsraum zu einer Vereinheitlichung der Geldbußen für festgestellte DSGVO-Verstöße führen. Es ist für die nationalen Aufsichtsbehörden verbindlich.
Künftig müssen die Datenschutzbehörden Geldbußen wegen eines oder mehrerer Verstöße gegen die DSGVO schrittweise ermitteln. Zunächst erhebt die Behörde die relevanten unzulässigen Datenverarbeitungen und prüft, ob ein oder mehrere einzelne zu ahndende Verstöße vorliegen. Das jeweilige schrittweise Vorgehen bezieht sich dann auf jeden einzelnen zu sanktionierenden Verstoß.
Nach der Feststellung des Bußgeldrahmens bewertet die Behörde anhand der Umstände der jeweiligen Datenverarbeitung die Schwere des Verstoßes nach den Umständen des Einzelfalls. Anschließend legt sie unter Berücksichtigung des Umsatzes des Konzerns oder Unternehmens einen wirksamen, verhältnismäßigen und abschreckenden Betrag als Basis der weiteren Berechnung fest.
Im Anschluss bewertet die Datenschutzbehörde weitere erschwerende oder mildernde Umstände, die sich auf das frühere oder gegenwärtige Verhalten des für die Verarbeitung Verantwortlichen/Auftragsverarbeiters beziehen. Entsprechend kommt eine Erhöhung oder Herabsetzung der Geldbuße in Betracht. Allerdings spricht vieles dafür, dass die Behörden auf dieser Stufe den zuvor festgelegten Ausgangsbetrag in der Praxis eher erhöhen als verringern werden.
Abschließend prüft die Behörde, ob der so ermittelte Endbetrag wirksam, verhältnismäßig und abschreckend ist. Die Geldbuße kann auch noch in diesem Schritt entsprechend erhöht oder herabgesetzt werden, jedoch ohne den jeweiligen gesetzlichen Höchstrahmen von 10 oder 20 Mio. € bzw. von 2 % oder 4 % des Vorjahresumsatzes zu überschreiten. Gerade bei umsatzstarken und großen Unternehmen dürften die Vorgaben des EDSA künftig zu höheren Geldbußen wegen festgestellter Verstöße führen. Auch in Mitgliedstaaten, die bislang eher niedrige Geldbußen verhängt haben, sind strengere Sanktionen künftig sehr wahrscheinlich. In der Vergangenheit gab es vermehrt unionsweite Kritik an einer restriktiven Bußgeldpraxis mancher Mitgliedstaaten. Auch manche deutsche Bundesländer waren bei der Verhängung von Geldbußen bei Datenschutzverstößen vergleichsweise zurückhaltend. Hier dürfte die Anwendung des neuen Bußgeldkonzepts zu höheren Geldbußen führen.
Der EDSA macht deutlich, dass stets die Umstände des konkreten Falls für die endgültige Berechnung einer Geldbuße entscheidend sind. Es handelt sich gerade nicht um eine „rein mathematische Übung“. Allerdings darf die zu verhängende Geldbuße nicht über dem gesetzlichen Höchstbetrag liegen.
Für die EU ist zukünftig eine einheitlichere Praxis bei der Verhängung von Geldbußen zu erwarten. Manche Mitgliedstaaten verhängten bislang eher niedrige Geldbußen. Andere Länder haben Unternehmen schon Geldbußen in zwei-/oder dreistelliger Millionenhöhe auferlegt, ohne dass die Gründe für eine unterschiedliche Handhabung in der Bußgeldpraxis auf der Hand lagen. Allerdings haben die europäischen Aufsichtsbehörden auch nach dem nun von dem EDSA vorgestellten Berechnungsmodell weiterhin Ermessensspielräume und müssen den jeweiligen Datenverstoß am konkreten Einzelfall beurteilen.
Das neue EDSA-Bußgeldmodell löst vorherige Bußgeldkonzepte auf nationaler Ebene ab. Künftig müssen alle Datenschutzbehörden bei der Verhängung von DSGVO-Geldbußen verbindlich das neue EU-Konzept anwenden.
Die EDSA-Leitlinien sind zwar zum einen bereits verbindlich, zum anderen aber auch Teil eines noch laufenden öffentlichen Konsultationsverfahrens. Stellungnahmen können noch bis zum 27. Juni 2022 abgegeben werden. Anpassungen sind daher möglich. Allerdings hat der EDSA seine bislang vorgestellten Leitlinien nach öffentlichen Konsultationen nicht mehr erheblich angepasst.
Eine gerichtliche Überprüfung von verhängten Bußgeldern kann zweckmäßig sein, gerade bei hohen Geldbußen. Viele rechtliche Fragen bei der Verhängung von Sanktionen nach Art. 83 DSGVO sind noch weitgehend ungeklärt. Aktuelle Bußgeldverfahren zeigen, dass Behörden in der Praxis durchaus auch Positionen vertreten oder formelle Fehler machen, die ein Gericht später beanstanden könnte. Hier ist jedoch immer eine Einzelfallbeurteilung erforderlich.
(Quelle: Legal Tribune Online, Ausgabe vom 20. Mai 2022)