EDSA verabschiedet finale Leitlinien zur Bußgeldzumessung
Der Europäische Datenschutzausschuss (EDSA) hat am 24. Mai 2023 die finale Version der Leitlinien zur Bußgeldzumessung verabschiedet. Die Guidelines 04/2022 on the calculation of administrative fines under the GDPR legen einheitliche Maßstäbe für die Datenschutzbußgelder in Europa fest. Es handelt sich, wie wir bereits in der Vergangenheit berichtet haben, um ein einheitliches Bußgeldmodell für Datenschutzverstöße. Ziel der Leitlinien ist die die Schaffung einer einheitlichen Bußgeldpraxis bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO). Die Leitlinien zur Bußgeldzumessung fördern damit die Harmonisierung und Transparenz bei der Verhängung von Geldbußen durch die europäischen Aufsichtsbehörden.
Sanktionsbefugnisse der Datenschutzaufsichtsbehörden
Nach Art. 83 DSGVO sind die europäischen Aufsichtsbehörden befugt, bei Verstößen gegen die DSGVO Geldbußen gegen Verantwortliche und Auftragsverarbeiter zu verhängen. In Abs. 2 der genannten Vorschrift legt die DSGVO Kriterien für die Bemessung der Geldbuße im konkreten Fall fest. Die Absätze 4, 5 und 6 legen wiederum Obergrenzen für die Höhe der Geldbuße in Abhängigkeit von der Art des Verstoßes fest: Geldbußen von bis zu 10.000.000 EUR bzw. bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % bzw. 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Darüber hinaus wird in Abs. 9 Satz 2 DSGVO festgelegt, dass die Geldbußen in jedem Fall wirksam, verhältnismäßig und abschreckend sein müssen.
Die Ausübung der Sanktionsbefugnisse nach Art. 83 DSGVO wurde im nationalen Datenschutzrecht mit § 41 BDSG umgesetzt. Hierzu hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Ende 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen. Dieses Konzept sollte den deutschen Aufsichtsbehörden als Orientierungshilfe bei der Bußgeldbemessung dienen, solange der EDSA noch keine konkrete Methode zur Bußgeldbemessung festgelegt hatte. Zu diesem Zeitpunkt lagen lediglich die EDSA-Leitlinien „für die Anwendung und Festsetzung von Bußgeldern im Sinne der Verordnung (EU) 2016/679“ (das ist die DSGVO) vor, die aus Sicht der DSK einer Konkretisierung hinsichtlich der Festsetzungsmethodik bedurften. Das Konzept der DSK sieht daher in seinem Text vor, dass es seine Gültigkeit verliert, sobald der EDSA seine endgültigen Leitlinien zur Methodik der Bußgeldbemessung erlassen hat.
Die EDSA-Leitlinien zur Bußgeldzumessung sehen ein fünfstufiges Zumessungsverfahren vor. Diese Berechnungsmethodik haben wir bereits in einem Beitrag vom 17. Juni 2022 beschrieben. Das Thema ist also nicht neu, Anlass für unseren vorangehenden Bericht dazu war die Veröffentlichung der ersten Version der Guideline 04/2022 im Mai 2022. Neu ist allerdings der endgültige Charakter der Leitlinien, die nun für die Aufsichtsbehörden der Mitgliedstaaten bei der Verhängung von Sanktionen nach Art. 83 DSGVO verbindlich sind.
Fazit: Bedeutung für die künftige Bußgeldpraxis
Welche konkreten Auswirkungen die EDSA-Leitlinien zur Bußgeldbemessung auf die Bußgeldpraxis der europäischen und insbesondere der deutschen Aufsichtsbehörde haben werden, ist eher eine Raterunde als eine datenschutzrechtliche Beratung. Die Praxiserfahrung zeigt jedoch, dass klare und eindeutige Regelungen den Grad der Rechtssicherheit erhöhen, indem sie das Verhalten der Rechtsanwender, in diesem Fall der Aufsichtsbehörde, berechenbarer machen. Daher sollte die Erhöhung oder Senkung möglicher Bußgelder für die Unternehmen nur zweitrangige Priorität haben. Noch wichtiger ist es, Bußgelder komplett zu vermeiden, indem man ein Datenschutzmanagement implementiert, das sich an den Vorgaben der DSGVO orientiert. Das Datenschutzrecht fordert von Verantwortlichen und Auftraggebern eindeutig die Einhaltung seiner Vorgaben; Geld hingegen fordert es nur bei Datenschutzverstößen (bei denen die Unternehmen erwischt werden) 😉
