eprivacy-verordnung 2020 drittstaaten transfers standardvertragsklauseln scc AV Auftragsverarbeitung edsa bußgeld dga da ki-vo

EDSA beschließt einheitliches Bußgeldmodell für Datenschutzverstöße

/von

Das Thema Bußgeld ist im Zusammenhang mit der DSGVO (Art. 83 ff DSGVO) nicht unbekannt. Bereits in der Vergangenheit haben wir zum Beispiel hier, hier und hier dazu berichtet. Nun gibt es wieder etwas Neues: Der Europäische Datenschutzausschuss (EDSA) hat am 12. Mai 2022 ein neues Bußgeldmodell in Form einer Leitlinie beschlossen, das vor allem für große und umsatzstarke Unternehmen zu erheblichen Risiken führen kann. Die Leitlinie soll das Working Paper 253 der Datenschutzkonferenz (DSK) ergänzen, das die Umstände für die Entscheidung über die Erteilung eines Bußgeldes zum Gegenstand hat. Hierüber hatten wir bereits in der Vergangenheit berichtet. Das beschlossene Modell soll in der EU und dem EWR zu einer Vereinheitlichung der Geldbußen für festgestellte Verstöße gegen die DSGVO führen und ist verbindlich durch die nationalen Aufsichtsbehörden umzusetzen. Das Modell des EDSA geht umfangreicher darauf ein, welche Umstände sich negativ, neutral oder positiv auf die zu verhängende Strafe auswirken. Anders als bei dem in Deutschland seit 2019 vorliegenden Modell zur Bußgeldberechnung der DSK gibt es auch keine festen Multiplikatoren, die je nach Schwergrad des Verstoßes zur Anwendung kommen sollten.

Aus diesem Beschluss resultieren neue Risiken für Unternehmen beim Verstoß gegen die DSGVO.

Folgen aus dem neuen Bußgeldmodell

Verstöße gegen die Datenschutzvorschriften könnten Unternehmen in Zukunft teurer zu stehen kommen als bislang. Mit steigenden Umsätzen steigt auch nach der Methodik des EDSA die Bußgeldhöhe. Gerade bei Unternehmen mit hohen Umsätzen kann das zu extrem hohen Bußgeldern führen. Ganz deutlich hebt der EDSA hervor, dass ein Fehlverhalten der Beschäftigten dem Unternehmen grundsätzlich unmittelbar zurechenbar ist.

Was bedeutet das Bußgeldmodell für bereits laufende Bußgeldverfahren? 

Aktuell wird das Bußgeldmodell noch nicht einheitlich angewandt. Teilweise berücksichtigen Aufsichtsbehörden das Modell bereits jetzt in ihren Entscheidungen. Es gibt durchaus Behörden, die die einheitlichen Bußgelder begrüßen;nicht alle Behörden sehen dies jedoch so. Spätestens wenn das Bußgeldmodell final verabschiedet ist, werden sich doch alle Datenschutzbehörden der EU an diese Vorgaben halten müssen. Sofern sich einzelne Behörden nicht an die Regelungen halten sollten, könnten sie dann mittels des Kohärenzverfahrens dazu gezwungen werden.

Die EDSA-Leitlinien sind zwar zum einen bereits verbindlich, zum anderen aber auch Teil eines öffentlichen Konsultationsverfahrens. Stellungnahmen können noch bis zum 27. Juni 2022 abgegeben werden. Es ist also möglich, dass noch Anpassungen folgen.

Neben den höheren Bußgeldern für umsatzstarke Unternehmen bietet das Modell auch eine Reihe von Regelungen, die es den Datenschutzbehörden in Einzelfällen ermöglichen, Bußgelder auch nach unten anzupassen. Diese niedrigere Bemessung dürfte aller Voraussicht nach – wenn überhaupt – in wirtschaftlich schwächeren Ländern Anwendung finden.

In der Vergangenheit wurde vermehrt Kritik an der Bußgeldpraxis mancher Mitgliedstaaten geäußert. Einige Mitgliedstaaten haben bisher eher niedrige Bußgelder verhängt. Hierzu gehört auch Deutschland – trotz des eigentlich recht „gnadenlosen“ Bußgeldberechnungsmodells (siehe oben). Für die Zukunft ist zu erwarten, dass diese Mitgliedsstaaten künftig zu höheren Geldbußen greifen.

Festlegung der Bußgeldhöhe

Für die Berechnung von Bußgeldern sind nach dem neuen Modell 5 Schritte zu durchlaufen. Der EDSA hebt hervor, dass für die Berechnung der Bußgeldhöhe stets die Umstände entscheidend sind und jeder einzelne Fall individuell zu betrachten ist. Dies macht deutlich, dass die Höhe des Bußgeldes nicht immer ausschließlich anhand einer Formel berechnet oder gar aus einem Bußgeldkatalog entnommen werden kann.

Folgende Schritte sind für die Berechnung von Bußgeldern durchzuführen:

  1. Identifizierung der gegenständlichen Verarbeitungsvorgänge und Feststellung, ob Art. 83 Abs. 3 DSGVOeinschlägig ist
  2. Bestimmung des Ausgangswertes für die Bußgeldberechnung in Abhängigkeit von
  1. Anpassung des Wertes anhand verschärfender oder mildernder Umstände im früheren oder gegenwärtigen Verhalten des Verantwortlichen/Auftragsverarbeiters
  2. Identifizierung der relevanten Maximalbeträge für die verschiedenen Verarbeitungsvorgänge als Höchstgrenze der Geldbuße
  3. Bewertung des Betrages in Bezug darauf, ob die Geldbuße wirksam, abschreckend und verhältnismäßig ist nach Art. 83 Abs. 1 DSGVO

Schlussendlich darf das verhängte Bußgeld jedoch nicht über dem gesetzlichen Höchstbetrag (20 Mio. Euro für Verantwortliche mit einem Jahresumsatz < 500 Mio., oder 4% des Jahresumsatzes bei Verantwortlichen mit einem höheren Umsatz) liegen.

Was ist nun zu tun?

Direkt etwas tun können Sie nur insofern, dass Sie die Wahrscheinlichkeit eines Bußgelds verringern. Hierzu gehört beispielsweise, Ihre Beschäftigten angemessen zu sensibilisieren. Dies findet übergeordnet am besten in Form von Schulungen statt. Darüber hinaus sollten aber auch Arbeitsanweisungen und Prozesse im Unternehmen etabliert (und schriftlich dokumentiert – wir empfehlen, ein Datenschutzhandbuch zu erstellen) sein, die vor Datenschutzverstößen schützen. Meist ist es sinnvoll auch spezielle Fachbereiche wie HR, IT oder Betriebsrät*innen gesondert zu schulen und für diese Personenkreise jeweils auf spezielle Themen einzugehen. Wichtig ist darüber hinaus, aus Vorfällen der Vergangenheit zu lernen, Handlungsbedarf zu identifizieren und daraus die notwendigen Maßnahmen abzuleiten und umzusetzen. Nur mit Hilfe gut geschulter Beschäftigter kann vermieden werden, dass es zu Datenschutzverstößen kommt. Fallstricke können so leicht vorab erkannt werden.

 

 

Das könnte Sie auch interessieren
Abmahnung uwg edsa bußgeldzumessung bußgeld leitlinien 900000 löschpflicht eugh urteil anredeEDSA verabschiedet finale Leitlinien zur Bußgeldzumessung
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichEuGH-Urteil zum immateriellen Schadenersatz nach der DSGVO
rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligung eugh bußgeld löschung von daten auftragsverarbeitungEuGH entscheidet zu deutscher Bußgeldpraxis – beide Seiten jubeln
Welche Daten dürfen Führungskräfte und Kolleg*innen sehen?berechtigungen zugriff führungskraft chefprivate kontaktdaten beschäftigte mangelnde einbindung dsb datenschutzbeauftragter anonymisierungDürfen private Kontaktdaten Beschäftigter verarbeitet werden?