DSGVO Geldbußen: Keine Kleinigkeit für die Großen

Nachdem der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zur Berechnung von Geldbußen veröffentlicht hat, drohen umsatzstarken Unternehmen höhere Strafen bei Verstößen gegen die Datenschutz-Grundverordnung, kurz DSGVO. Kleinere und mittlere Unternehmen bleiben dagegen von den theoretisch anwendbaren Strafobergrenzen weitgehend verschont.

 

In der Datenschutz-Grundverordnung ist seit 2018 auch der Rahmen für die Bemessung von Geldbußen festgelegt: Nach Art. 83 können die Nichteinhaltung der Datenschutzgrundsätze oder der Rechenschaftspflicht mit einer Geldbuße von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Für andere Verstöße sind als Obergrenze 2 Prozent des Umsatzes oder 10 Millionen Euro festgelegt.

Wird das blaue Auge zum blauen Wunder?

Bisher sind viele Unternehmen aber mit einem blauen Auge davongekommen. Auch haben sich manche Datenschutzbehörden mit der Verhängung von Geldbußen sehr zurückgehalten. Das könnte sich nun ändern.

Denn am 12. Mai 2022 hat der Europäische Datenschutzausschuss (EDSA), das gemeinsame Abstimmungsgremium der EU-Datenschutzbehörden, Leitlinien für die Berechnung von Bußgeldern gemäß der DSGVO veröffentlicht. Und die würden laut Datenschutzexperten wie Tim Wybitul, Partner der Anwaltskanzlei Latham & Watkins, vor allem große, umsatzstarke Unternehmen treffen, wenn sie nachweislich gegen die DSGVO verstoßen oder verstoßen haben.

Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien für die Berechnung von Bußgeldern gemäß der DSGVO veröffentlicht. Quelle: Pixabay / NakNakNak.

Die nun veröffentlichten Leitlinien 04/2022 zur Berechnung von DSGVO-Geldbußen sind seitens des EDSA als Ergänzung zu seinen bereits 2017 veröffentlichten Leitlinien (Working Paper 253) vorgesehen. Ging es damals noch um die harmonisierte Auslegung der DSGVO-Vorschriften zur Erteilung von Geldbußen, hat der EDSA nun die Vorgehensweise für die Berechnung der Bußgelder normiert.

5 Schritte zur Berechnung der Geldbußen

  1. Zunächst erfolgt eine Prüfung auf Anwendbarkeit von Art. 83 (3) DSGVO, also ob eine oder mehrere zusammenhängende oder getrennt zu betrachtende sanktionierbare Handlungen vorliegen.
  2. Danach ist die Ausgangssumme für die Strafbemessung festzulegen. Dies erfolgt anhand der Klassifizierung (10 Millionen / 2 Prozent oder 20 Millionen / 4 Prozent), des Ausmaßes des Verstoßes (niedrig – mittel – hoch) sowie des weltweiten Vorjahresumsatzes.
    In Bezug auf den Umsatz empfiehlt der EDSA eine Staffelung nach Unternehmensgröße (2 / 10 / 50 / 100 / 250 Millionen Euro Umsatz). Je geringer der Umsatz, desto höher ist der prozentuale Abschlag auf die Ausgangssumme. Da die meisten kleinen Unternehmen in der EU in der Kategorie bis 10 Millionen Euro Umsatz liegen dürften, liegen die Geldbußen weit entfernt von den im Gesetz genannten Obergrenzen, was sich auch anhand der bisherigen Praxis belegen lässt. So bewegt sich die überwiegende Zahl an Geldbußen seit 2018 unterhalb von 100.000 Euro.
  3. Im dritten Schritt ist festzustellen, ob für das zu verhängende Bußgeld mildernde oder
    verschärfende Umstände vorliegen. Maßnahmen zum Schutz von Daten oder zur Minderung der Risiken für die betroffenen Personen sind hier ebenso genannt wie frühere Verstöße durch das verantwortliche Unternehmen oder seine Bereitschaft zur Kooperation mit der Behörde.
  4. Schritt 4 dient der Festlegung der rechtlichen Strafobergrenze. Dies erfolgt anhand der genannten Beträge von 10 bzw. 20 Millionen Euro. Bei Organisationen mit mehr als 500 Millionen Euro Vorjahresumsatz sind die im Gesetz genannten prozentualen Obergrenzen (2 oder 4 Prozent) heranzuziehen, da die DSGVO hier den jeweils höheren Wert vorschreibt.
  5. Die DSGVO formuliert hinsichtlich Abhilfemaßnahmen durch Aufsichtsbehörden den Grundsatz, dass diese „wirksam, verhältnismäßig und abschreckend“ sein sollen. Im fünften Schritt ist eine abschließende Bewertung vorgesehen, inwieweit die errechnete Geldbuße diesem Grundsatz gerecht wird. In den letzten beiden Jahren wurden beispielsweise hohe Geldbußen deutlich reduziert, um auf die schwierige wirtschaftliche Lage der verantwortlichen Unternehmen einzugehen.

Leitlinien zielen auf Harmonisierung und Transparenz

Wie bereits die Datenschutzkonferenz der deutschen Aufsichtsbehörden ist auch der EDSA darum bemüht, für vergleichbare Verstöße entsprechend vergleichbare Strafen zu bewirken. Die vorgestellte Leitlinie enthält einige Beispiele und erreicht damit auf jeden Fall eine höhere Transparenz.

 

Die deutschen Aufsichtsbehörden hatten 2019 ein nationales System entwickelt, bei dem ebenfalls der Jahresumsatz als Kriterium für den Ausgangspunkt galt. Dies hielt jedoch der gerichtlichen Prüfung nicht stand: zu wenig Spielraum für die Einzelfallprüfung, so die Begründung des Landgerichts Bonn, das in einem Urteil im November 2020 die Kriterien von 2019 gekippt und die danach zu bemessende Geldbuße auf ein Zehntel reduziert hat.

 

Möglicherweise vor diesem Hintergrund betont die EDSA Leitlinie an verschiedenen Stellen, dass die endgültige Höhe der Geldbußen immer vom Einzelfall und der Entscheidung der jeweiligen Aufsichtsbehörde abhängt. Inwieweit eine Harmonisierung der Geldbußen in den Mitgliedsländern bewirkt werden kann, bleibt abzuwarten. Wie der Fall der Geldbuße gegen Meta in Irland gezeigt hat, scheint sich der EDSA eine Basis zu schaffen, um die Entscheidungen von Aufsichtsbehörden im Gremium zu hinterfragen.

Tim Wybitul erwartet in den Mitgliedsstaaten mit bisher eher niedrigen Geldbußen künftig strengere Sanktionen. Dies könnte ihm zufolge auch manche deutschen Bundesländer betreffen. Da die EDSA-Leitlinie vorherige Konzepte auf Länderebene ablösen wird, müssten auf jeden Fall die Leitlinien in jedem Bundesland angewendet werden und könnten in den genannten Fällen zu höheren Geldbußen führen.

Manche Entscheidungen können mit den neuen Leitlinien härter ausfallen. Quelle: Pixelio / Thorben Wengert.

Wie relevant sind Strafen für den Mittelstand?

Es könnte durchaus sein, dass die Leitlinie des EDSA eine veränderte Ahndungspraxis der Aufsichtsbehörden zur Folge hat. Zieht man die wenigen vorhandenen Überblicksseiten wie den „enforcementtracker“ der Anwaltskanzlei CMS zu Rate, zeigen sich deutliche Unterschiede in der Menge und durchschnittlichen Höhe an Geldbußen. Dies liegt zum Teil auch daran, dass die Aufsichtsbehörden unterschiedliche Regeln zur Veröffentlichung von Geldbußen verfolgen: Manche Aufsichtsbehörden veröffentlichen erst ab einer bestimmten Höhe, manche auch bereits Strafen von wenigen hundert Euro. So weist die Statistik für Spanien etwa die zehnfache Anzahl an Geldbußen gegenüber Deutschland aus, allerdings auch mit einem Zehntel der durchschnittlichen Strafsumme.

 

Generell lässt sich sagen, dass die Anzahl der Geldbußen seit 2018 stetig zugenommen hat. Und das ist tatsächlich eine gute Nachricht für diejenigen Unternehmen, die sich um Datenschutz bemühen. Denn ein Gesetz ohne Ahndung führt zwangsläufig zu unfairen Wettbewerbsvorteilen für Marktteilnehmer, die sich die Regeleinhaltung sparen.

 

Für umsatzstarke Unternehmen mit konkreten Bußgeldrisiken empfiehlt Tim Wybitul daher die Vorbereitung von Ablaufplänen und Verteidigungsstrategien. Kleinere Unternehmen werden dagegen, wie auch in anderen Verfahren, den Aufwand einer gerichtlichen Auseinandersetzung gegen die Höhe der Strafe abwägen.

 

Fazit: Für Unternehmen jeder Größe bleibt die Möglichkeit einer Geldbuße real. Die Leitlinie des EDSA hilft in jedem Fall bei der Bewertung, wie teuer ein Datenschutzverstoß das eigene Unternehmen zu stehen kommen kann.

Quelle Titelbild: Adobe Stock / MQ-Illustrations.

.