Neue Leitlinien zur Bußgeldberechnung bei Datenschutz­verstößen

​Müssen Unternehmen nun höhere Sanktionen fürchten?

veröffentlicht am 1. Juni 2022 | Lesedauer ca. 4 Minuten

Mit der Festlegung durch die Leitlinien schafft der EDSA nun tatsächlich weitere Klarheit hinsichtlich seines Verständnisses zur Anwendung der Kriterien gemäß Art. 83 DSGVO. Dieser legt die allgemeinen Bedingungen für die Verhängung von Geldbußen aufgrund von Datenschutzverstößen fest. Umfasst sind davon auch ver­schiedene Kriterien, die von den zuständigen Aufsichtsbehörden bei ihrer Entscheidung über die Verhängung und die Höhe eines Bußgelds im Einzelfall zu berücksichtigen sind. Eine nähere Verfahrensweise oder gar ein konkretes Berechnungsmodell enthält die DSGVO hingegen nicht. Dies führte bei den jeweiligen Aufsichts­behörden trotz Berücksichtigung der Leitlinien von 2018 zu einer Etablierung abweichender Bußgeldpraxen. Unterschiede lassen sich nicht nur auf europäischer Ebene ausmachen. Auch in nationaler Hinsicht sind gewisse Tendenzen einer unterschiedlichen Handhabung von Bußgeldern durch die Landes­daten­schutz­be­hörden erkennbar. Das zu verhindern und eine einheitliche Anwendung der DSGVO sicherzustellen ist gemäß Art. 70 der DSGVO zentrale Aufgabe des EDSA. Dem kommt der Ausschuss nun mit dem Beschluss der Leit­linien nach und fördert damit eine einheitliche und transparente Bußgeldberechnung.

Das Modell

Das beschlossene Berechnungsmodell basiert auf fünf aufeinander aufbauenden Stufen:

1. Zunächst ist zu ermitteln, welche unzulässigen Datenverarbeitungen vorliegen. Dabei ist für den Fall einer Mehrzahl von relevanten Verstößen auch die Anwendung von Art. 83 Abs. 3 DSGVO zu bewerten.
2. Anschließend ist die Basis für die weitere Berechnung der Bußgeldhöhe festzulegen. Dazu ist die Schwere des Verstoßes zu bewerten. Dies erfolgt anhand der einzelfallabhängigen Umstände der Datenverarbeitung. Ein dementsprechender Ausgangsbetrag des Bußgeldes ist so festzulegen, dass er gem. Art. 83 Abs. 1 DSGVO verhältnismäßig und abschreckend ist. Dabei ist insbesondere der Unternehmensumsatz zu berücksichtigen.
3. Nachfolgend sind ggf. mildernde oder verschärfende Einzelfallumstände zu bewerten, die im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Verantwortlichen bzw. Auftragsverarbeiters stehen. Je nach Bewertung ist die Geldbuße entsprechend zu erhöhen oder herabzusetzen.
4. Im vierten Schritt sind die gesetzlichen Höchstbeträge für die relevanten Verarbeitungsvorgänge zu iden­ti­fizieren. Diese dürfen nicht durch eine Erhöhung aufgrund vorheriger oder nachfolgender Schritte überstiegen werden.
5. Schließlich ist zu analysieren, inwiefern die berechnete Geldbuße den Anforderungen der Wirksamkeit, Abschreckung und Verhältnismäßigkeit gemäß Artikel 83 Abs. 1 DSGVO entspricht. Ergebnisabhängig ist der Betrag anschließend durch Erhöhung oder Herabsetzung der Geldbuße nachzujustieren.

Auswirkungen auf die Bußgeldhöhe

Der EDSA hebt ausdrücklich hervor, dass die zuständigen Aufsichtsbehörden zur Bestimmung des Bußgeldes weiterhin stets sämtliche Einzelfallumstände, sowie alle relevanten Bewertungsfaktoren (Art. 83 Abs. 2 DSGVO) zu berücksichtigen haben. Gleichwohl lassen sich den Leitlinien klare Tendenzen entnehmen, die auf eine höhere Bebußung jedenfalls der umsatzstärkeren Unternehmen hindeuten. Dies wird besonders in einigen der Beispielfälle deutlich, die in den Leitlinien zur Veranschaulichung des Modells enthalten sind. So wird in einem der Praxisbeispiele etwa ein Ausgangsbetrag für ein Bußgeld gegen ein umsatzstarkes Unternehmen (8 Mrd. Euro Umsatz) wegen eines Verstoßes von nur geringerer Schwere in Höhe von 25 Mio. Euro als wirksam, abschreckend und verhältnismäßig angesehen. In Kontrast dazu wird in einem anderen Beispiel ein Bußgeld für ein verhältnismäßig kleines Unternehmen berechnet (0,5 Mio. Euro Umsatz). Hier wird für den Fall eines schweren Verstoßes ein Betrag in Höhe von 16.000 Euro angesetzt. Wenden die Aufsichtsbehörden das neue Modell an, dürften also vor allem umsatzstarke Unternehmen in Zukunft von Bußgeldern betroffen sein, deren Höhe die bisherige Praxis insbesondere in den Regionen restriktiver Handhabung deutlich übersteigt.

Unternehmenshaftung

Neben dem Berechnungskonzept sehen die Leitlinien auch eine unmittelbare Unternehmenshaftung vor. Die eindeutige Positionierung des EDSA bezüglich der Haftungsfrage ist deswegen besonders brisant, da eine unmittel­bare Unternehmenshaftung hierzulande kontrovers aufgefasst wird. Während die meisten Landes­datenschutzbehörden und die Datenschutzkonferenz (DSK) die Bestimmungen des EDSA teilen, vertritt die Rechtsprechung hier (noch) konträre Auffassungen. Anlass für die divergierenden Entscheidungen ist das deutsche Ordnungswidrigkeitenrecht. Dies sieht eine Unternehmenshaftung nur für den Fall eines zurechen­baren persönlichen Verschuldens der Geschäftsleitung vor (§§ 30, 130 OWiG). Im Rahmen einer unmittelbaren Unternehmenshaftung werden hingegen alle Handlungen von natürlichen Personen (mit der Befugnis für das  jeweilige Unternehmen zu handeln) dem Unternehmen selbst als eine von ihm unmittelbar begangene Hand­lung zugerechnet. Unerheblich ist dafür, welche natürliche Person konkret gehandelt hat. Der Anwendung der OWiG Vorschriften haben einige Gerichte eine klare Absage erteilt, andere hingegen berücksichtigten sie uneingeschränkt. Eine Klärung des Streits ist jedoch in Sicht: seit Dezember 2021 liegt dem EuGH eine Vorlage des KG Berlins zur Klärung der Haftungsfrage vor (Beschluss vom 06.12.2021 – Az. 3 Ws 250/21).
 

Verbindlichkeit der Leitlinien

Die veröffentlichten Leitlinien haben für die Aufsichtsbehörden grundsätzlich eine verbindliche Wirkung. Im Rahmen ihrer Bußgeldentscheidungen sind sie von den Behörden bei der Auslegung der einschlägigen Vor­schriften heranzuziehen. Die Bußgeldbemessung orientiert sich allerdings nach wie vor sehr stark an den jeweiligen Umständen des Einzelfalls. Zu einer „rein mathematischen Übung“ sollen die Leitlinien auch aus­drücklich nicht führen. Dadurch verbleibt den Behörden regelmäßig ein nicht unerheblicher Ermessens­spiel­raum und damit ein unkalkulierbares Risiko für die Verantwortlichen. Im Gegensatz zu den Behörden sind der EuGH und die nationalen Gerichte nicht an die Leitlinien gebunden. Bei der gerichtlichen Überprüfung von Bußgeldern orientieren diese sich ausschließlich an der DSGVO selbst. Inwiefern die Gerichte das neue Konzept der Leitlinien mittragen werden bleibt somit abzuwarten. 

Fazit

Die beschlossenen Leitlinien bieten den Aufsichtsbehörden mit dem Berechnungsmodell künftig ein über­ein­stimmendes Gerüst zur Bestimmung von Bußgeldern. Es ist somit zu erwarten, dass sich die unterschiedlichen Bußgeldpraxen dadurch allmählich in Richtung einer einheitlichen Handhabung annähern werden. Aufgrund des weiterhin verbleibenden Entscheidungsspielraums der Behörden im Einzelfall bleibt der endgültige Har­mo­ni­sierungseffekt der Leitlinien noch abzuwarten. Besonders auf die umsatzstärkeren Unternehmen dürften in Zukunft höhere Bußgelder im Fall von Datenschutzverstößen zukommen. Die Bemessungskriterien und Bei­spiele des neuen Konzepts liefern den Unternehmen dafür aber jedenfalls sachdienliche Anhaltspunkte zur näheren Bewertung ihres jeweiligen Bußgeldrisikos. Mit den neuen Leitlinien dürfte nun insgesamt eine Hin­wendung der Aufsichtsbehörden zu einer geordneten Bußgeldpraxis folgen.