IT/Datenschutz
Das europäische Bußgeldmodell für Datenschutzverstöße kommt!
Der Europäische Datenschutzausschuss (EDSA) hat am 12.05.22 neue Leitlinien für die Berechnung von Bußgeldern bei datenschutzrechtlichen Verstößen veröffentlicht. Die Leitlinien sollen die Bußgeldbemessung im Rahmen der Anwendung des Art. 83 DS-GVO in den europäischen Mitgliedstaaten vereinheitlichen und so für mehr Transparenz auf dem Gebiet der Bußgeldpraxis sorgen.
Damit hat der EDSA erstmals seit in Kraft treten der Datenschutz-Grundverordnung (DS-GVO) den Weg für ein europaweit einheitliches Bußgeldmodell geebnet. Bisher haben die nationalen Datenschutzaufsichtsbehörden aufgrund fehlender unionsweiter Regelungen eigene Konzepte zur Bußgeldbemessung geschaffen und angewendet.
Das EU-Bußgeldmodel wird künftig nationale Regelungen zur Bußgeldberechnung ablösen, denn die Datenschutzbehörden der Mitgliedstaaten haben sich darauf verständigt, die Leitlinien verbindlich anzuwenden.
Wesentliches Merkmal des EU-Bußgeldmodells ist dessen Abschreckungsfunktion, welche über die Verhängung deutlich höherer Bußgelder für Unternehmen erreicht werden soll.
Ähnlich wie bei einigen der bisherigen nationalen Regelungen – so etwa das Konzept der deutschen Datenschutzaufsichtsbehörden (HEUSSEN Blog v. 23.01.20) – erfolgt die Bußgeldzumessung in Verfahren gegen Unternehmen auch beim EU-Bußgeldmodell in 5 Schritten und richtet sich maßgeblich nach dem Umsatz eines Unternehmens.
Anhand der wesentlichen Schritte des EU-Bußgeldmodells ergibt sich folgender Verfahrensablauf.
1. Schritt
Zu Beginn eines Bußgeldverfahrens ermittelt die zuständige Datenschutzaufsichtsbehörde ob und in welchem Umfang (ein oder mehrere) sanktionswürdige datenschutzrechtliche Verstößevorliegen, d.h. ein oder mehrere Verstöße zu ahnden sind und ob der Art. 83 Abs. 3 DS-GVO anwendbar ist. Dieser besagt, dass wenn bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen der DS-GVO verstoßen wird, der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigen darf.
2. Schritt
Auf Grundlage des Art. 83 Abs. 4 - 6 DS-GVO wird die Schwere des Verstoßes nach Umständen des Einzelfalls gemäß Art. 83 Abs. 2 lit. a - g DS-GVO bestimmt. Auf der Grundlage der Bewertung der oben genannten Faktoren kann die Aufsichtsbehörde den Verstoß als gering, mittel oder schwer einstufen. Die Behörde legt hierauf unter Zugrundelegung des Konzern- bzw. Unternehmensumsatzes einen wirksamen, verhältnismäßigen und abschreckenden Betrag als Basis der weiteren Berechnung fest.
3. Schritt
Im dritten Schritt werden bezüglich der Höhe des Bußgeldes erschwerende und mildernde Umstände, die sich auf das frühere oder gegenwärtige Verhalten beziehen, berücksichtigt.
Demzufolge werden folgende Maßnahmen in die Bewertung mit einbezogen:
- Maßnahmen zur Schadensminderung
- Grad der Verantwortlichkeit für den Verstoß
- Vorherige Verstöße
- Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß zu beenden und die möglichen nachteiligen Auswirkungen des Verstoßes abzumildern
- Die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
- Einhaltung früherer angeordneter Maßnahmen in Bezug auf denselben Sachverhalt
- Einhaltung von genehmigten Verhaltenskodizes oder genehmigten Zertifizierungsverfahren
- Sonstige erschwerende und mildernde Umstände
Dementsprechend kann es zu einer Erhöhung oder Herabsetzung des Bußgeldes kommen
4. Schritt
Im vierten Schrittwerden die einschlägigen gesetzlichen Höchstbeträge der Bußgeldhöhen für die verschiedenen Verarbeitungsvorgänge gemäß Art. 83 Abs. 4 – 6 DS-GVO (2 % bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs) ermittelt und festgelegt.
5. Schritt.
Im letzten Schritt soll abschließend geprüft werden, ob die berechnete Geldbuße den Anforderungen der Wirksamkeit, Abschreckung und Verhältnismäßigkeit gemäß Art. 83 Abs. 1 DS-GVO entspricht und gegebenenfalls angepasst werden muss. Dabei darf der festgelegte Höchstbetrag nicht überschritten werden.
Ausblick:
Das EU-Bußgeldmodel befindet sich derzeit noch im öffentlichen Konsultationsverfahren. Anmerkungen können von Vereinigungen, Unternehmen aber auch interessierten Personen bis Ende Juni eingereicht werden.
Absehbar ist in diesem Zusammenhang noch nicht, ob von der EDSA entsprechende Eingaben berücksichtigt werden. Die Erfahrungen aus anderen öffentlichen Konsultationsverfahren lassen jedoch die Vermutung zu, dass der EDSA keine wesentlichen Änderungen am Grundkonzept des EU-Bußgeldmodells mehr vornehmen wird.
Unternehmen sollten sich daher bereits jetzt auf die Zunahme von Bußgeldverfahren aufgrund von Datenschutzverstößen vorbereiten.