Das European Data Protection Board (EDPB) hat vor kurzem eine neue Leitlinie veröffentlicht, in der sie darlegen, wie ein DSGVO Bußgeld in Zukunft berechnet werden sollte. Diese Leitlinie ist fürs erste zur öffentlichen Konsultation herausgegeben, soll aber zukünftig europaweit gelten. Wir erklären, was die neue Leitlinie für die zukünftige Bußgeldberechnung bedeuten könnte.
Bisherige DSGVO Bußgeld Berechnung
In Deutschland verhängten Aufsichtsbehörden in den letzten Jahren bereits etliche DSGVO Bußgelder. Allein Anfang des Jahres machte die Aufsichtsbehörde in Bremen auf sich aufmerksam, indem diese die Wohnungsbaugesellschaft BREBAU GmbH mit einem 1.900.000€ DSGVO Bußgeld bestrafte, da diese sehr sensible Mieterdaten ohne Rechtsgrundlage verarbeiteten. 2021 erhielt notebooksbilliger.de ein 10.400.000€ Bußgeld aufs Auge gedrückt und H&M sogar eine ca. 35. Mio. Euro hohe Strafe. Dies sind nur einige Beispiele von vielen. Allerdings kommt bei diesen Bußgeldern häufig die Frage auf, wie die Aufsichtsbehörden eigentlich genau auf die letztendliche Summen kommen.
Bislang gab es dafür einen Bußgeldkatalog der Datenschutzkonferenz (DSK). Die DSK ist eine Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Diese hatte bereits 2019 ein gemeinsames Konzept entwickelt, womit die Verhängung von Bußgeldern in Deutschland vereinheitlicht werden sollte. Dieses Konzept sah 5 Schritte vor, um ein DSGVO Bußgeld zu berechnen:
- Das verantwortliche Unternehmen wird erstmal einer Größenklasse zugeordnet.
- Gemäß der Zuordnung findet dann eine Ermittlung des mittleren Jahresumsatzes der jeweiligen Größenklasse statt. Bei einem jährliche Umsatz von über 500 Mio.€ wurden nicht mehr mittlere Jahresumsätze hinzugezogen, sondern war der konkrete Umsatz des Unternehmens Grundlage für die weitere Berechnung.
- Mit diesem mittleren Jahresumsatz nahm man dann eine Berechnung des sog. wirtschaftlichen Grundwerts vor. Dafür wurde der mittlere Jahresumsatz der Größenklasse, der das verantwortliche Unternehmen zugeordnet wurde, durch 360 geteilt, womit man den durchschnittlichen Tagessatz erhielt.
- Dieser berechnete wirtschaftliche Grundwert wurde dann je nach Schweregrad des Datenschutzverstoßes mit einem Faktor zwischen 1 bis 6< (bei formellen Verstößen) oder 1 bis 12< (bei materiellen Verstößen) multipliziert. Damit war das grundlegende DSGVO Bußgeld ermittelt.
- Als Korrektiv war es den Aufsichtsbehörden weiterhin möglich den wirtschaftlichen Grundwert gemäß der konkret vorliegenden Umstände positiv oder negativ anzupassen.
Mit diesem Vorgehen hatte die DSK eine übersichtliche Berechnungsgrundlage geschaffen. Doch nun wird dieses Konzept seine Gültigkeit verlieren, da das EDPB eine europaweit abschließende Leitlinie auf den Weg gebracht hat.
Zukünftige DSGVO Bußgeld Berechnung
In der Vergangenheit fand europaweit eine recht individuelle Festlegung von Bußgeldern statt. Dies war u.a. Grund dafür, dass Gerichte etliche verhängte Bußgelder wieder einkassierte. Nun möchte das EDPB eine Lösung präsentieren, um eine einheitliche Berechnung von DSGVO Bußgelder zu erreichen. Um dies zu gewährleisten wurde ein Modell entworfen, dass nicht mehr ganz so übersichtlich ist, wie das ehemalige Modell der DSK.
Grundlegende Mechanismen
Grundsätzlich gilt auch unter der Leitlinie des EDPB, dass mit steigendem Umsatz auch die Bußgeldhöhe ansteigt. Besonders ab einem jährlichen Umsatz von mehr als 50 Mio.€ sieht das Modell eine markante Erhöhung von möglichen Bußgeldsummen vor. Zentral scheint dabei zu stehen, dass die verhängten Summen in Zukunft u.a. auch effektiv abschrecken sollen. Wenn man diese umsatzabhängige Ausrichtung und das Instrument der Abschreckung miteinander kombiniert, ist davon auszugehen, dass besonders Unternehmen mit hohen Jahresumsätzen in Zukunft mit sehr hohen Bußgeldern rechnen müssen.
Erschwerend kommt hinzu, dass das EDPB von einer kartellrechtlichen Auslegung des Begriffs des Unternehmens ausgeht. Das bedeutet, dass gesamte Konzerne und/oder Unternehmensverbände für DSGVO-Verstöße einer einzelnen juristischen Person bestraft werden können. Dies geht soweit, dass die Leitlinie es Aufsichtsbehörden ermöglicht, Bußgelder direkt an ein Muttergesellschaft zu adressieren, wenn eine Tochtergesellschaft gegen die Vorgaben der DSGVO verstoßen hat. Diese Bündelung eines für den Verstoß Verantwortlichen ist ebenso ein Anzeichen dafür, dass die Bußgelder in Zukunft höher werden dürften. Da mit einer solchen Durchgriffshaftung etliche Verantwortliche die Grenze von jährlich mehr als 50 Mio.€ Umsatz knacken, womit deutlich höhere Bußgelder drohen.
Konkrete Methodik
Das Modell des EDBP ist komplex. Damit ein DSGVO Bußgeld verhängt werden kann, müssen insg. 4 wesentliche Schritte durchlaufen werden.
- Identifikation des „Starting Point“: Hierbei soll festgestellt werden, gegen welche Vorgaben aus der DSGVO eigentlich verstoßen wird. Auch soll die Ernsthaftigkeit und das insg. Ausmaß des Verstoßes Berücksichtigung finden sowie, ob der Verstoß vorsätzlich oder fahrlässig vorgenommen wurde. Mit all diesen Erkenntnissen identifiziert man dann den sog. „Starting Point“. Je nach insgesamter Ernsthaftigkeit des Verstoßen wird in diesem Schritt somit festgelegt, wie viel Prozent des legal maximalen Bußgeldes Grundlage für die weitere Berechnung sein soll. Besonders ist hierbei, dass eine Anpassung des Starting Points möglich ist, sobald ein gewisser jährlicher Umsatz vorliegt. Ab 50 Mio.€ Umsatz ist eine deutliche Erhöhung des Starting Point möglich.
- Identifikation von erschwerender oder mildernder Umstände: In diesem Schritt soll festgestellt werden, ob Umstände vorliegen, die das Bußgeld verringern oder erhöhen könnten. Dabei soll u.a. Berücksichtigung finden, welche Maßnahmen der Verantwortliche ergriffen hat, um den Schaden für Betroffene zu minimieren, ob der Verantwortliche alles von ihm zu erwartende unternommen hat, um den Vorfall vorzubeugen, ob der Verantwortliche in der Vergangenheit bereits gegen Vorgaben der DSGVO verstoßen hat, ob der Verantwortliche sich kooperativ zeigt und die Art und Weise, wie der Verstoß aufgefallen ist. Ja nach Umstände kann die Aufsichtsbehörde die in Schritt 1 ermittelte Grundlage erhöhen oder verringern.
- Identifikation von maximaler Bußgeldhöhe und Verantwortlichkeit: Anschließend muss festgestellt werden, welche maximale Bußgeldsumme die DSGVO für den vorliegenden Einzelfall zulässt. Hier gibt das EDPB ebenso an, dass eine kartellrechtliche Identifikation des Verantwortlichen stattfinden sollte. Sodass also Muttergesellschaften, Konzerne oder Unternehmensverbände direkt Adressaten von Bußgeldern werden können und das deren jährlicher Umsatz Grundlage für die letztendliche Festlegung der Strafzahlung sein muss.
- Überprüfung des Bußgeldes: Abschließend fordert das EDPB dazu auf, dass die Aufsichtsbehörden die festgelegten Bußgelder auf Effektivität, Verhältnismäßigkeit und Abschreckung überprüfen sollen. Gemäß der Überprüfung kann das Bußgeld dann noch innerhalb des in Schritt 3 ermittelten Limits individuell erhöht oder vermindert werden.
Fazit
Die neue Leitlinie des EDPB hat es sich zum Ziel gesetzt, die Bußgeldberechnung bei DSGVO-Verstößen europaweit zu vereinheitlichen. Dafür wurde ein Modell entworfen, welches im Vergleich zum ehemaligen deutschen Modell der DSK, sehr komplex ist. Dieses Modell soll in Zukunft für angemessene Bußgelder sorgen, die effektiv abschrecken und vor allem umsatzstarke Unternehmen/Unternehmensverbände vermehrt hart treffen könnten.
Inwiefern dieses Konzept die ambitionierten Ziele tatsächlich erreichen kann bleibt abzuwarten. Das EDPB lässt den nationalen Aufsichtsbehörden viel Spielraum bei der finalen Festlegung eines Bußgeldes, was dazu führen könnte, dass die gewünschte Einheitlichkeit nicht wirklich eintritt. Für Unternehmen sorgt das komplexe neue Konzept ergänzend noch dafür, dass eine Abschätzung der wahrscheinlichen Bußgeldhöhen dann nur noch schwer und ungenau möglich ist.
Bis zum 27. Juni 2022 ist der EDPB noch offen für Feedback. Ob und wie das EDPB das Feedback dann nutzt wird ist allerdings unklar.
Du interessierst dich für datenschutzrechtliche Themen? Dann schau doch bei unseren anderen Beiträge vorbei, die bspw. über die anstehende ePrivacy-Verordnung oder das erste KI-Gesetz gehen.
Sollte dir der Blog-Beitrag gefallen haben, folge uns am besten auf Facebook, LinkedIn oder XING, um immer informiert zu bleiben.