Berechnung von DSGVO- Bußgeldern
Der Europäische Datenschutzausschuss (EDSA) hat am 12. Mai 2022 Leitlinien für die Berechnung von Bußgeldern bei Datenschutzverstößen veröffentlicht. Das Vorgehen erfolgt in fünf Schritten, die im Folgenden überblicksartig dargestellt werden.
Fünf Schritte zur Berechnung eines Bußgeldes:
1. Schritt
Bestimmung des sanktionierbaren Verhaltens und der datenschutzrechtlichen Verstöße (Art. 83 Abs. 3 DSGVO)
Zunächst wird bestimmt, ob eine oder mehrere sanktionierbare Verhaltensweisen vorliegen. Dann wird ermittelt, ob die einzelne Handlung zu einem oder mehreren Verstößen führt und ob bei mehreren Verstößen aufgrund derselben Handlung die Zurechnung eines Verstoßes die Zurechnung des anderen Verstoßes ausschließt oder sie nebeneinander zuzurechnen sind.
2. Schritt
Ausgangspunkt der Berechnung
Anschließend wird der Ausgangspunkt der weiteren Berechnung anhand der folgenden Faktoren ermittelt:
- Einstufung des Verstoßes gemäß Art. 83 Abs. 4 bis 6 DSGVO:
- Verstöße nach Abs. 4 = Bußgeldrahmen bis zu 10 Mio. bzw. bis zu 2 % des weltweiten Jahresumsatzes
- Verstöße nach Abs. 5 und 6 = Bußgeldrahmen bis zu 20 Mio. bzw. bis zu 4 % des weltweiten Jahresumsatzes
- Schwere des jeweiligen Verstoßes
Bei der Bestimmung der Schwere des jeweiligen Verstoßes werden Art, Schwere und Dauer (Art. 83 Abs. 2 lit. a) DSGVO), Vorsatz und Fahrlässigkeit (Art. 83 Abs. 2 lit. b) DSGVO) sowie die Kategorien der personenbezogenen Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g) DSGVO), berücksichtigt. Aus diesen Faktoren wird die Schwere des Verstoßes in seiner Gesamtheit bestimmt und in eine von drei Kategorien eingeordnet:
- Verstöße von geringer Schwere: Ausgangspunkt der Bußgeldberechnung liegt zwischen 0 und 10 % des gesetzlichen Höchstbetrags
- Verstöße von mittlerer Schwere: Ausgangspunkt der Bußgeldberechnung liegt zwischen 10 und 20 % des gesetzlichen Höchstbetrags
- Verstöße von großer Schwere: Ausgangspunkt der Bußgeldberechnung liegt zwischen 20 und 100 % des gesetzlichen Höchstbetrags
- Berücksichtigung des Unternehmensumsatzes
Anschließend können die Aufsichtsbehörden den Ausgangsbetrag auf Basis des Unternehmensumsatzes anpassen. Dabei gelten folgende Werte:
- Jahresumsatz bis zu 2 Mio. €: bis zu 0,2 % des Ausgangsbetrags
- Jahresumsatz bis zu 10 Mio. €: bis zu 0,4 % des Ausgangsbetrags
- Jahresumsatz bis zu 50 Mio. €: bis zu 2 % des Ausgangsbetrags
- Jahresumsatz über 50 Mio. € bis höchstens 100 Mio. €: bis zu 10 % des Ausgangsbetrags
- Jahresumsatz ab 100 Mio. € bis höchstens 250 Mio. €: bis zu 20 % des Ausgangsbetrags
- Jahresumsatz ab 250 Mio. € bis höchstens 500 Mio. €: bis zu 50 % des Ausgangsbetrags
3. Schritt
Verschärfende oder mildernde Umstände
Im dritten Schritt werden verschärfende und mildernde Umstände nach Art. 83 Abs. 2 DSGVO berücksichtigt:
- Maßnahmen zur Minderung des Schadens (Art. 83 Abs. 2 lit. c) DSGVO)
- Grad der Verantwortung (Art. 83 Abs. 2 lit. d) DSGVO)
- frühere Verstöße (Art. 83 Abs. 2 lit. e) DSGVO)
- Umfang der Zusammenarbeit mit den Aufsichtsbehörden (Art. 83 Abs. 2 lit. f) DSGVO)
- Art und Weise, wie Verstoß bekannt wurde (Art. 83 Abs. 2 lit. h) DSGVO)
- Einhaltung von früher angeordneten Maßnahmen (Art. 83 Abs. 2 lit. i) DSGVO)
- Einhaltung von genehmigten Verhaltensregeln (Art. 83 Abs. 2 lit. j) DSGVO)
- sonstige erschwerende oder mildernde Umstände (Art. 83 Abs. 2 lit. k) DSGVO)
4. Schritt
Keine Überschreitung des gesetzlichen Höchstbetrages
Anschließend wird sichergestellt, dass die gesetzlichen Höchstbeträge nach Art. 83 Abs. 4 bis 6 DSGVO nicht überschritten wurden.
5. Schritt
Anpassung hinsichtlich Wirksamkeit, Abschreckung und Verhältnismäßigkeit
Im letzten Schritt können, solange die gesetzlichen Höchstbeträge nicht überschritten werden, weitere Anpassungen des Bußgeldbetrages vorgenommen werden. So soll sichergestellt werden, dass das Bußgeld den Anforderungen der Wirksamkeit, Verhältnismäßigkeit und Abschreckung entspricht. Wirksam ist ein Bußgeld, wenn es die Einhaltung der Vorschriften wiederherstellt und/oder rechtswidriges Verhalten bestraft. Im Rahmen der Verhältnismäßigkeit wird überprüft, ob das Bußgeld geeignet, erforderlich und angemessen ist. Dabei kann bei außergewöhnlichen Umständen in diesem Schritt aufgrund von Zahlungsunfähigkeit auch von einem Bußgeld komplett abgesehen werden. Um die abschreckende Wirkung des Bußgeldes für den Adressaten sowie andere sicherzustellen, können die Aufsichtsbehörden das Bußgeld außerdem mit einem Abschreckungsmultiplikator erhöhen.
Bedeutung des neuen Berechnungsmodells
Das neue Berechnungskonzept soll zu einer Vereinheitlichung der Bußgeldpraxis in der EU führen. Es löst die vorherigen Methoden auf nationaler Ebene ab und ist für alle Datenschutzbehörden verbindlich. Im Vergleich zum bisherigen Modell der Datenschutzkonferenz müssen sich nun vor allem umsatzstarke Unternehmen auf deutlich höhere Bußgelder einstellen. Trotz des neuen Konzepts ist aber auch in Zukunft eine gerichtliche Überprüfung von Bußgeldern sinnvoll, da Gerichte nicht an das EDSA-Konzept gebunden sind.
Thomas Haschert Mag. iur., Fachanwalt für Arbeitsrecht, Fachanwalt für internationales Wirtschaftsrecht, Datenschutzbeauftragter der Kanzlei, Datenschutzauditor
Marina Fritz, Rechtsreferendarin