09.06.2022  | 
Bitkom Consult
 
 

Europäischer Ausschuss veröffentlicht neue Leitlinien zur Berechnung von DSGVO-Bußgeldern

Die Benennung eines potenziellen Bußgelds für einen Datenschutzverstoß fällt in der Praxis regelmäßig schwer. Bekannt sind in den meisten Fällen die Maximalgrenzen von 2% bzw. 4% oder 10 Millionen bzw. 20 Millionen, je nachdem, welcher Betrag höher ist (vgl. Art. 83 EU-DSGVO). Allerdings führt nicht jeder Verstoß gegen das Datenschutzrecht zu einer Maximalstrafe. Gleichzeitig gibt das europäische Datenschutzrecht kein Berechnungsmodell für Bußgelder vor, sondern benennt lediglich Kriterien, die für die Bewertung des Einzelfalls herangezogen werden können (vgl. Art. 83 Abs. 2 EU-DSGVO).

 

Entwurf des EDSA zur Bußgeldberechnung

Mit dem Ziel ein einheitliches Berechnungsmodell für datenschutzbezogene Bußgelder zu erarbeiten, hat der Europäische Datenschutzausschuss (EDSA) die Leitlinie 04/2022 zur Berechnung von Bußgeldern nach DSGVO zur Konsultation veröffentlicht.

Während die Berechnung eines Bußgeldes immer eine Einzelfallprüfung bleibt, gibt das Berechnungsmodell fünf Schritte vor:

1.    Schritt: Identifizierung der gegenständlichen Verarbeitungsvorgänge und Feststellung, ob Art. 83 Abs. 3 DSGVO einschlägig ist

2.    Schritt: Bestimmung des Ausgangswertes für die Bußgeldberechnung in Abhängigkeit von

  • der Klassifizierung als Verstoß nach Art. 83 Abs. 4, 5 oder 6 DSGVO
  • der Schwere des Verstoßes nach Art. 83 Abs. 2 a), b) und g) DSGVO
  • dem Umsatz des Unternehmens

3.    Schritt: Anpassung des Wertes anhand verschärfender oder mildernder Umstände im früheren oder gegenwärtigen Verhalten des Verantwortlichen/Auftragsverarbeiters

4.    Schritt: Identifizierung der relevanten Maximalbeträge für die verschiedenen Verarbeitungsvorgänge als Höchstgrenze der Geldbuße

5.    Schritt: Bewertung des Betrages in Bezug darauf, ob die Geldbuße wirksam, abschreckend und verhältnismäßig ist nach Art. 83 Abs. 1 DSGVO

 

Was Unternehmen mitnehmen sollten

Anhand der Kriterien wird deutlich, dass der EDSA vor allem eine Harmonisierung der Methodik zur Berechnung von Geldbußen, nicht aber eine Harmonisierung des Ergebnisses anstrebt. Gerade Anpassungen nach Schritt 3 und 5 werden in der Praxis zu wesentlichen Abweichungen führen, da diese eine subjektive Einschätzung der prüfenden Stelle voraussetzen.

Für Unternehmen kann dieses Berechnungsmodell dennoch wertvoll sein:

  • Zum einen kann das Modell angesetzt werden, um eine realistische Bußgeldspanne zu benennen und damit das einhergehende monetäre Risiko beziffern zu können. 
  • Zum anderen gibt das Modell Kriterien zur Berechnung vor, die im Umkehrschluss zur Mitigation eines potenziellen Bußgeldes herangezogen werden können (z. B. Maßnahmen zur Mitigation von Schäden und zur Kooperation mit den Aufsichtsbehörden, siehe Kapitel 5).