Wer gegen Vorschriften der DSGVO verstößt, der kann ein Bußgeld erhalten. Das kann durchaus beachtlich ausfallen: Bis zu 20 Millionen Euro, beziehungsweise bis zu vier Prozent des weltweiten Jahresumsatzes sind möglich. Auch wenn manch ein Bußgeld wirklich hoch ausfällt, handelt es sich dabei eben dennoch um „bis zu“-Werte. Für die Zumessung im jeweiligen konkreten Fall gibt es jetzt neue Regeln: Am 24. Mai 2023 hat der Europäische Datenschutzausschuss (EDSA) nach der Durchführung einer öffentlichen Konsultation Leitlinien beschlossen, die EU-weit einheitliche Grundlagen schaffen sollen.
Einheitliche Regeln sollen Bußgeldbemessung transparenter machen
„Durch die europäischen Leitlinien zur Bußgeldbemessung wird das Vorgehen der Aufsichtsbehörden bei der Sanktionierung von Datenschutzverstößen transparenter“, teilt Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, mit. Ihre Behörde war neben den Datenschutzaufsichtsbehörden Hessens und des Bundes als Repräsentantin der deutschen Datenschutzaufsicht an dem Vorhaben beteiligt. Das Fünf-Schritte-Verfahren, wie es die Leitlinien jetzt vorsehen, gebe klare Regeln für die Zumessung von Geldbußen vor und trage auf diese Weise zu einem nachvollziehbaren Verwaltungshandeln bei.
Bislang war die Bemessung der Bußgelder im Wesentlichen Sache der Mitgliedstaaten. In der DSGVO selbst ist geregelt, dass etwa die Schwere, die Art und die Dauer des Verstoßes eine Rolle zu spielen haben. Auch, ob dieser vorsätzlich oder fahrlässig zustande gekommen ist, muss berücksichtigt werden, ebenso wie frühere Verstöße und die Frage danach, wie der für die Verarbeitung Verantwortliche mit der Behörde zusammengearbeitet hat. Bei der Gesamthöhe sind die Grenzen auf 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes festgelegt, je nachdem, welcher Wert höher ist. Auch über 20 Millionen Euro Bußgeld sind insofern nicht ausgeschlossen.
In Deutschland hatte 2019 die Datenschutzkonferenz, das Gremium der einzelnen deutschen Datenschutzbehörden, ein Bemessungskonzept erarbeitet, welches allerdings nicht gänzlich ohne Kritik blieb. Auch im Hinblick auf die Leitlinien der EDSA ist es nicht ausgeschlossen, dass ein behördlich erteiltes Bußgeld vor Gericht in seiner Höhe nicht standhält, sondern etwa höher oder niedriger ausfällt. Die Gerichte sind insoweit nämlich nicht an die Leitlinien gebunden.
Wie funktioniert die Bemessung von DSGVO-Bußgeldern?
Was kostet jetzt der Versand einer datenschutzwidrigen Werbe-E-Mail? Wer hofft, die Antwort auf diese Frage sauber aufgeschlüsselt in den Leitlinien zu finden, der wird enttäuscht. Die Leitlinien funktionieren nicht wie ein Katalog, oder wie es in den Leitlinien heißt: „Die Berechnung des Bußgelds ist keine reine Mathematikaufgabe“. Im Grunde aber geht es in dem knapp 50-seitigen Dokument um folgende fünf Schritte:
- Identifizierung der betroffenen Datenverarbeitungsvorgänge und Feststellung, ob Art. 83 Abs. 3 DSGVO anwendbar ist. Es wird also insbesondere festgestellt, ob eine oder mehrere bußgeldbewehrte Handlungen vorgekommen sind.
- Bestimmung des Ausgangswertes für die Bußgeldberechnung. Dieser ist abhängig von der Klassifizierung des Verstoßes (nach Art. 83. Abs. 4, 5 oder 6 DSGVO), seiner Schwere (nach Art. 83 Abs. 2 a), b) und c) DSGVO – bspw. Vorsatz/Fahrlässigkeit, Schadensminderung) sowie vom Umsatz des Unternehmens.
- Begutachtung verschärfender und mildernder Umstände, die mit dem gegenwärtigen oder früheren Verhalten des Verantwortlichen (oder des Auftragsverarbeiters) zusammenhängen, und entsprechende Anpassung des Wertes.
- Im Anschluss werden die Maximalbeträge für die jeweiligen Verarbeitungsvorgänge als Höchstgrenze der Geldbuße herausgearbeitet.
- Im letzten Schritt wird bewertet, ob die ermittelte Geldbuße wirksam, abschreckend und verhältnismäßig im Sinne von Art. 83 Abs. 1 DSGVO ist und das Bußgeld entsprechend angepasst.
Ausdrücklich betont wird dabei, dass es trotz der Rahmenbedingungen bei einer Einzelfallprüfung bleibt, die entscheidend ist für das zu verhängende Bußgeld.
„Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedstaaten“, heißt es von Prof. Ulrich Kelber, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der in den Leitlinien auch das Potenzial sieht, Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze zu sein.
Einsehbar sind die Leitlinien des EDSA auf dessen Website.
Neben den umfangreichen Leistungen in puncto Rechtssicherheit im Online-Shop bietet der Händlerbund auch den Rundum-Service für den Datenschutz in Unternehmen. Mit dem Datenschutz-Paket Pro stehen Unternehmern nicht nur passende Datenschutzerklärungen, umfangreiche Vorlagen und Checklisten zur Verfügung, sondern auch ein externer Datenschutzbeauftragter. Weitere Informationen zum Datenschutz-Paket Pro finden Sie hier.
Newsletter
Abonnieren
Abonnieren
Bleibe stets informiert mit unserem Newsletter.
Meistgelesene Artikel
Aktuelle Urteile | 12.01.2024
Marktplätze | 07.11.2023
Marktplätze | 06.02.2024
Kommentare
Demnach müsste die "DSGVO" auch innerhalb der EU hinfällig sein. Alles andere wäre Diskriminierung oder Willkür
____________________________________
Antwort der Redaktion
Hallo,
das Datenschutzabko mmen hat den Zweck, sicherzustellen , dass bei der Datenübertragun g in die USA ein gleichwertiges Datenschutznive au wie in der EU herrscht. Ob sich das in der Praxis verwirklicht, wird sich erst noch zeigen. Die zwei Vorgänger-Abkom men wurden jedenfalls aufgrund des fehlenden Datenschutznive aus jeweils für ungültig erklärt. Das neue Datenschutzabko mmen könnte dieses Schicksal auch erwarten. Es bleibt in jedem Fall spannend.
Mit den besten Grüßen
die Redaktion
Schreiben Sie einen Kommentar