Neue Leitlinien für DSGVO-Bußgelder
Worauf müssen sich Unternehmen einstellen?
Die Datenschutzgrundverordnung (DSGVO) sieht für Unternehmen wegen Verstößen gegen das Datenschutzrecht hohe Bußgelder vor. Den Spitzenrang für die bis dato höchste Sanktion wegen eines Verstoßes gegen den Datenschutz hält aktuell Amazon mit einem Rekordwert von 746 Millionen Euro. Abhängig davon, in welchem EU-Mitgliedstaat das Bußgeld verhängt wird, kann sich die Höhe des Bußgelds stark unterscheiden. Nach Abschluss der sog. „Public Consultation Phase“ zum 27.06.2022 hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien für die Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße veröffentlicht, um die verschiedenen Bußgeldniveaus zu vereinheitlichen. Finden Sie mit uns heraus, welche Konsequenzen Unternehmen aufgrund der neuen Leitlinien zu erwarten haben.
Hohe Bußgelder und der Datenschutz
In den verschiedenen EU-Mitgliedsstaaten haben sich seit Inkrafttreten der DSGVO unterschiedliche Vorgehen für die Berechnung von Bußgeldern durchgesetzt. Zwar geben europäische Normen einen gewissen Rahmen für die Berechnung von Bußgeldern vor. Trotzdem weichen die Aufsichtsbehörden in ihren Bußgeldbemessungen voneinander ab. Ein Datenschutz-Verstoß, der einen vergleichbaren Sachverhalt zum Gegenstand hat, wird beispielsweise in Spanien anders sanktioniert als in Ungarn. Insbesondere die Mitgliedstaaten, die in ihren Bußgeldern niedrige Sanktionen für Unternehmen angesetzt haben, stehen in der Kritik. Überraschenderweise zählt Deutschland ebenfalls dazu, obwohl man meinen könnte, dass DSGVO-Bußgelder hierzulande hoch angesetzt sind. Im EU-weiten Vergleich sieht es allerdings anders aus.
Anders als bei dem luxemburgischen Rekordbußgeld von 746 Millionen Euro beträgt die höchste Sanktion aus Deutschland 35 Millionen Euro. Sie wurde 2020 in einem Verfahren gegen den Modekonzern H&M erlassen. Das Modeunternehmen hat ohne Einwilligung der Beschäftigten Persönlichkeitsprofile erstellt. Die Daten wurden dabei aus Befragungen nach Urlaubs- und Krankheitsabwesenheiten oder aus Flurgesprächen zwischen den Mitarbeitenden erhoben und ausgewertet. Über Jahre kam es so zur umfangreichen Erfassung privater Lebensumstände.
Um die Höhe der Bußgelder künftig anzupassen und in der EU ein einheitliches Vorgehen zu etablieren, wurden die neuen Leitlinien verabschiedet. Auf nationaler Ebene orientierten sich die Bußgelder bisher am (umstrittenen) Bußgeldbemessungskonzept der deutschen Datenschutzkonferenz vom Oktober 2019. Dies soll durch die neuen Leitlinien abgelöst werden. Die neuen Leitlinien sind für die Aufsichtsbehörden verbindliche Regelungen, von denen nicht abgewichen werden darf. Aber was genau verändert sich durch die neuen Leitlinien?
Erleichterungen für Aufsichtsbehörden
Die Leitlinien orientieren sich an einem komplexen mehrschrittigen Verfahren zur Ermittlung der Höhe eines Bußgeldes. Häufig wird der Umsatz eines Unternehmens als Maßstab für die Berechnung herangezogen werden. Das EDSA vertritt hierfür eine kartellrechtliche Betrachtungsweise. Für die Frage des Umsatzes kommt es so nicht auf die konkret handelnde juristische Person an, sondern vielmehr auf den Umsatz der sog. wirtschaftlichen Einheit.
Nach diesem Verständnis werden Tochtergesellschaften im Falle einer wirtschaftlichen Einheit zusammen mit dem Mutterkonzern oder Unternehmensverband einheitlich betrachtet, sodass als Anknüpfungspunkt für die Bemessung des Bußgeldes der Gesamtumsatz der Unternehmensgruppe herangezogen wird, anstatt lediglich der Umsatz des Tochterunternehmens. Künftig wird die Verhängung von Bußgeldern dadurch für die Aufsichtsbehörden erleichtert.
Hinzu kommt, dass in einem solchen Fall das Bußgeld nach Auffassung des EDSA im Sinne einer Durchgriffshaftung auch direkt an die Muttergesellschaft erlassen werden kann. Das Bundesinnenministerium sowie einige deutsche Gerichte haben dies bisher noch anders entschieden. Die neuen Leitlinien schaffen hier Klarheit und tragen mit der Durchgriffshaftung ebenfalls dazu bei, dass die Aufsichtsbehörden Bußgelder einfacher erlassen können.
Fünf Schritte zur Berechnung des Bußgeldes
Der Berechnung eines Bußgeldes nach der DSGVO liegt ein komplexes Verfahren zugrunde. Die Berechnung erfolgt anhand der folgenden fünf Schritte:
1. Gegenständliche Verarbeitungsvorgänge und Art. 83 Abs. 3 DSGVO
Im ersten Schritt wird die gegenständliche Datenverarbeitung identifiziert. Im Zentrum steht die Frage, ob es sich um einen Datenschutzverstoß handelt, oder mehrere einzelne Verstöße vorliegen. Zudem wird geprüft, ob der Anwendungsbereich des Art. 83 Abs. 3 DSGVO eröffnet ist, der Verstoß als sanktionierbar ist.
2. Bestimmung des Ausgangswertes
Im zweiten Schritt wird der Ausgangswert für die Berechnung der Bußgeldhöhe ermittelt und nach Art. 83 Abs. 4-6 DSGVO klassifiziert. Das Bußgeld orientiert sich dabei an der Schwere des Verstoßes, die anhand von Kriterien festgestellt wird, die das EDSA festgelegt hat:
- Natur des Verstoßes
- Reichweite und Zweck der Datenverarbeitung, Grad der Rechtsverletzung
- Dauer des Verstoßes
- Vorsätzlicher oder fahrlässiger Charakter des Verstoßes
- Kategorien der personenbezogenen Daten
3. Verschärfende und mildernde Umstände
Es werden dann mildernde bzw. verschärfende Umstände ermittelt. Eine Auflistung der konkreten Umstände findet sich in Art. 83 Abs. 2 Satz 1 a) – k) DSGVO wieder. Es können beispielsweise Maßnahmen ins Gewicht fallen, die die Betroffenen eingeführt haben, um den entstandenen Schaden zu begrenzen. Wurde das zum Verstoß führende Verhalten direkt eingestellt? Eine Zusammenarbeit mit den Aufsichtsbehörden kann sich ebenfalls mildern auswirken oder auch der Umstand, dass man den Verstoß eigenständig meldet, noch bevor die Aufsichtsbehörde davon erfährt. Verschärfend können sich bereits vorangegangene Verstöße auswirken.
4. Bußgeldobergrenze
Aus der DSGVO ergeben sich im Grundsatz zwei Möglichkeiten für die Obergrenze eines Bußgeldes. Die statische Variante beläuft sich auf eine Grenze von 10 Mio. oder 20 Mio. Euro. Bei der dynamischen Variante werden entweder 2% oder 4% des Jahresumsatzes eines Unternehmens als Obergrenze angesetzt. Maßgeblich ist jeweils der höhere Wert. Auch die neuen Leitlinien müssen sich am gesetzlichen Rahmen orientieren und dürfen nicht zu einem Bußgeld führen, welches die Obergrenzen überschreitet.
5. Abwägung nach den Grundsätzen des Art. 83 Abs. 1 DSGVO
Zuletzt wird eine Abwägung vorgenommen und geprüft, ob der endgültige Betrag den Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit nach den Grundsätzen des Art. 83 Abs. 1 DSGVO gerecht wird. Betont wird dabei, dass es insbesondere auf eine abschreckende Wirkung der Bußgelder ankommen soll, während die Verhältnismäßigkeit zwar trotzdem noch eingehalten werden muss, allerdings nicht mehr als zentraler Faktor herangezogen werden soll.
Wie können Unternehmen auf die neuen Leitlinien reagieren?
Bisher konnten Unternehmen ein mögliches Risiko im Zusammenhang mit Datenschutzverstößen nur schwer kalkulieren. Das liegt insbesondere am hohen Beurteilungsspielraum, der den Aufsichtsbehörden gewährt wird. Hieran wird sich durch die neuen Leitlinien auch nichts ändern. Gerade umsatzstarke Unternehmen müssen mit einem Anstieg der Bußgeldhöhen rechnen und sich entsprechend vorbereiten. Prävention ist hier das Stichwort.
Am besten schützt man sich, indem man Maßnahmen ergreift, damit erst gar kein Verstoß gegen die DSGVO entstehen kann. Hierzu können Prozesse angepasst werden, Mitarbeiter geschult und sensibilisiert werden oder auch externe Fachleute mit datenschutzrechtlichen Themen beauftragt werden. Ist es zu einem Verstoß gekommen, kann es ratsam sein, in engen Austausch mit der Aufsichtsbehörde den Verstoß zu bearbeiten. In jedem Fall darf das Thema aufgrund des hohen Risikos nicht übergangen werden, weil mit einer Verschärfung der Bußgeldhöhen zu rechnen ist. Der Kurs gegen datenschutzrechtliche Verstöße der gesetzgebenden Instanzen verschärft sich spürbar.