In fünf Schritten zum Bußgeld: Einheitliche Regeln bei DSGVO-Verstößen kommen
DSGVO-Verstöße können empfindliche Bußgelder nach sich ziehen. Die neuen Leitlinien schaffen jetzt EU-einheitliche Transparenz.
(Bild: iX)
- Timo Busch
Nachdem im April 2022 erstmals gemeinsame Leitlinien zur Bemessung von Bußgeldern vorgestellt wurden, hat der Europäische Datenschutzausschuss (EDSA) in seiner Sitzung am 24. Mai 2023 nun eine endgültige Fassung der Leitlinien zur Vereinheitlichung der Bußgeldpraxis in Europa verabschiedet. Ein Bußgeld kann immer dann verhängt werden, wenn die europäischen Aufsichtsbehörden Verstöße gegen die DSGVO feststellen. Mit den für alle Aufsichtsbehörden geltenden Leitlinien wird die Anwendung von Artikel 83 DSGVO europaweit harmonisiert.
Fünf Schritte
Bei der Ermittlung sehen die Leitlinien fünf Schritte vor, die zu beachten sind: In einem ersten Schritt sollen die Verarbeitung personenbezogener Daten durch den Verantwortlichen identifiziert und bei mehreren Verstößen die Anwendbarkeit von Artikel 83 Abs. 3 DSGVO geprüft werden. Sodann soll der Ausgangspunkt für die weitere Berechnung der Höhe der Geldbuße festgelegt werden. Dies geschieht durch die genaue Feststellung des Verstoßes, dessen Schwere im Hinblick auf die Umstände des Einzelfalls und des Umsatzes des Unternehmens. Im dritten Schritt erfolgt die Bewertung der erschwerenden und mildernden Umstände, die sich auf das frühere oder gegenwärtige Verhalten des Verantwortlichen beziehen. Je nachdem, was für oder gegen den Verantwortlichen spricht, wird die Geldbuße erhöht oder herabgesetzt.
Im Anschluss erfolgt die Ermittlung der einschlägigen gesetzlichen Höchstbeiträge für die verschiedenen Verstöße. Die Geldbußen können gemäß Artikel 83 DSGVO bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes betragen. Die in den vorangegangen und nachfolgenden Schritten ermittelten Werte dürfen diese Maximalgrenzen nicht überschreiten. Meta hat im Jahre 2022 beispielsweise einen Gesamtumsatz von ca. 108,6 Milliarden Euro erwirtschaftet. Die mögliche Maximalstrafe gegen Meta läge damit bei ca. 4,3 Milliarden Euro. Zuletzt ist zu prüfen, ob der errechnete Endbetrag die Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit aus Artikel 83 Absatz 1 erfüllt. Die Geldbuße kann auch hier noch entsprechend angepasst werden, ohne den ermittelten gesetzlichen Höchstbetrag zu überschreiten.
Ermessensspielraum der Behörden
Die neue Version der Leitlinien enthält – im Unterschied zur Ursprungsfassung – insbesondere eine Anpassung der möglichen Ausgangspunkte für die Berechnung der Höhe des Bußgeldes je nach Umsatz eines Unternehmens. Dabei sind die Ausgangsbeträge für die Berechnung teilweise nach oben angepasst beziehungsweise der Ermessensspielraum für die Behörden vergrößert worden. Es zeigt sich, dass die Erfahrungen der vergangenen Jahre bei der Ermittlung der Ausgangswerte berücksichtigt wurden. Zudem wurde eine Beispielberechnung eines Bußgeldes für einen fiktiven Fall in die Leitlinien aufgenommen. Dabei ist jedoch zu beachten, dass es nach wie vor keine starren Werte gibt und den Behörden immer ein gewisser Ermessensspielraum bei ihren Entscheidungen zukommt.
Insgesamt tragen die neuen Leitlinien zu einer Steigerung der Transparenz bei, die im Hinblick auf die teils immensen Höhen der Bußgelder zu begrüßen ist. Die Leitlinien legen den Grundstein für eine europaweit einheitliche Bußgeldpraxis und werden im Hinblick auf die sich weiterentwickelnden Verfahrensweisen auch zukünftig laufend überprüft sowie gegebenenfalls aktualisiert werden. Die kompletten Leitlinien finden sich auf der Webseite des EDSA.
(fo)