Verstöße gegen die Datenschutzvorschriften könnten Unternehmen in Zukunft teurer zu stehen kommen als bislang. Tim Wybitul erläutert Hintergründe, Handlungsrahmen und mögliche Konsequenzen des neuen EU-Bußgeldmodells.
Die Datenschutzbehörden der Europäischen Union haben strenge Leitlinien beschlossen, um die Berechnung von Geldbußen nach der EU-Datenschutz-Grundverordnung (DSGVO) unionsweit zu vereinheitlichen. Auf Unternehmen kommen damit neue Risiken bei Verstößen gegen die DSGVO zu.
Wer und was steckt hinter dem neuen Modell für DSGVO-Geldbußen?
Der Europäische Datenschutzausschuss (EDSA) ist das gemeinsame Abstimmungsgremium der EU-Datenschutzbehörden. Der EDSA hat am 12. Mai 2022 ein Bußgeldmodell beschlossen, das vor allem für große und umsatzstarke Unternehmen zu erheblichen Risiken führt. Gerade für sie könnte das Berechnungsmodell hohe Strafen bei Verstößen gegen den Datenschutz mit sich bringen. Das Konzept soll in der EU und dem EWR zu einer Vereinheitlichung der Geldbußen für festgestellte DSGVO-Verstöße führen. Es ist für die nationalen Aufsichtsbehörden verbindlich.
Wie funktioniert das Modell?
Künftig müssen die Datenschutzbehörden Geldbußen wegen eines oder mehrerer Verstöße gegen die DSGVO schrittweise ermitteln. Zunächst erhebt die Behörde die relevanten unzulässigen Datenverarbeitungen und prüft, ob ein oder mehrere einzelne zu ahndende Verstöße vorliegen. Die nachfolgenden Schritte beziehen sich auf jeden einzelnen zu sanktionierenden Verstoß.
Nach der Feststellung des Bußgeldrahmens bewertet die Behörde anhand der Umstände der jeweiligen Datenverarbeitung die Schwere des Verstoßes nach den Umständen des Einzelfalls. Anschließend legt sie unter Berücksichtigung des Umsatzes des Konzerns oder Unternehmens einen wirksamen, verhältnismäßigen und abschreckenden Betrag als Basis der weiteren Berechnung fest.
Im Anschluss bewertet die Datenschutzbehörde weitere erschwerende und mildernde Umstände, die sich auf das frühere oder gegenwärtige Verhalten des für die Verarbeitung Verantwortlichen/Auftragsverarbeiters beziehen. Entsprechend kommt eine Erhöhung oder Herabsetzung der Geldbuße in Betracht. Allerdings spricht vieles dafür, dass die Behörden auf dieser Stufe den zuvor festgelegten Ausgangsbetrag in der Praxis eher erhöhen als verringern werden.
Abschließend prüft die Behörde, ob der so ermittelte Endbetrag wirksam, verhältnismäßig und abschreckend ist. Die Geldbuße kann auch noch in diesem Schritt entsprechend erhöht oder herabgesetzt werden, jedoch ohne den jeweiligen gesetzlichen Höchstrahmen von 10 oder 20 Millionen Euro beziehungsweise von 2 oder 4 Prozent des Vorjahresumsatzes zu überschreiten.
Zieht die neue Vorgehensweise höhere Geldbußen nach sich?
Gerade bei umsatzstarken und großen Unternehmen dürften die Vorgaben des EDSA künftig zu höheren Geldbußen wegen festgestellten Verstößen führen.
Auch in Mitgliedstaaten, die bislang eher niedrige Geldbußen verhängt haben, sind strengere Sanktionen künftig sehr wahrscheinlich. In der Vergangenheit gab es vermehrt unionsweite Kritik an einer restriktiven Bußgeldpraxis mancher Mitgliedstaaten. Auch manche deutsche Bundesländer waren bei der Verhängung von Geldbußen bei Datenschutzverstößen vergleichsweise zurückhaltend. Hier dürfte die Anwendung des neuen Bußgeldkonzepts zu höheren Geldbußen führen.
Haben Datenschutzbehörden bei ihren Bußgeldentscheidungen Entscheidungsspielräume?
Ja. Der EDSA macht deutlich, dass stets die Umstände des konkreten Falls für die endgültige Berechnung einer Geldbuße entscheidend sind. Es handele sich gerade nicht um eine "rein mathematische Übung". Allerdings darf die zu verhängende Geldbuße nicht über dem gesetzlichen Höchstbetrag liegen.
Welche Konsequenzen bringt das neue Berechnungsmodell?
Für die EU ist zukünftig eine einheitlichere Praxis bei der Verhängung von Geldbußen zu erwarten. Manche Mitgliedstaaten verhängten bislang eher niedrige Geldbußen. Andere haben Unternehmen schon Geldbußen in zwei- oder dreistelliger Millionenhöhe auferlegt, ohne dass die Gründe für eine unterschiedliche Handhabung in der Bußgeldpraxis auf der Hand lagen. Allerdings haben die europäischen Aufsichtsbehörden auch nach dem nun von dem EDSA vorgestellten Berechnungsmodell weiterhin Ermessensspielräume und müssen den jeweiligen Datenverstoß am konkreten Einzelfall beurteilen.
Auch die deutschen Datenschutzbehörden hatten ein Bußgeldkonzept verabschiedet. Was wird daraus?
Das neue EDSA-Bußgeldmodell löst vorherige Bußgeldkonzepte auf nationaler Ebene ab. Künftig müssen alle Datenschutzbehörden bei der Verhängung von DSGVO-Geldbußen verbindlich das neue EU-Konzept anwenden.
Wie können Datenschutzjuristen und Datenschutzbeauftragte auf das Bußgeldmodell des EDSA reagieren?
Vor allem sollten sie ihr Management über die veränderte Sachlage und Risikolandschaft informieren. Auf dieser Basis lassen sich resultierende Risiken richtig bewerten, entsprechende Vermeidungs- und Verteidigungsstrategien entwickeln sowie konkrete Handlungsempfehlungen formulieren und umsetzen. Manche Unternehmen, die konkreten Bußgeldrisiken ausgesetzt sind, bereiten Ablaufpläne und Verteidigungsstrategien zur Verringerung dieser Risiken vor.
Welche Unternehmen sind besonders betroffen?
Grundsätzlich sind gerade Unternehmen und Konzerne mit hohen Umsätzen gravierenden Bußgeldrisiken ausgesetzt. Für sie bestehen weiterhin hinsichtlich der Verantwortlichkeit bei Verstößen gegen die DSGVO teils gravierende Risiken. Der EDSA geht in seinem Bußgeldkonzept zudem von einer direkten Unternehmenshaftung ("direct corprate liability") aus. Daher hafte das Unternehmen für sämtliche Handlungen oder Unterlassungen seiner Vertreter, ohne dass es auf eine nach nationalem Recht erforderliche Pflichtverletzung einer Leitungsperson des Unternehmens ankomme. Diese Frage ist derzeit auch Gegenstand eines beim EuGH anhängigen Vorlageverfahrens (Az. C-807/21).
Sind noch Anpassungen zu erwarten?
Die EDSA-Leitlinien sind zwar zum einen bereits verbindlich, zum anderen aber auch Teil eines öffentlichen Konsultationsverfahrens. Stellungnahmen können noch bis zum 27. Juni 2022 abgegeben werden. Anpassungen sind daher möglich. Allerdings hat der EDSA seine bislang vorgestellten Leitlinien nach öffentlichen Konsultationen nicht mehr erheblich angepasst.
Wie kann man sich rechtlich gegen ein Bußgeld wehren?
Eine gerichtliche Überprüfung von verhängten Bußgeldern kann zweckmäßig sein, gerade bei hohen Geldbußen. Viele rechtliche Fragen bei der Verhängung von Sanktionen nach Art. 83 DSGVO sind noch weitgehend ungeklärt. Aktuelle Bußgeldverfahren zeigen, dass Behörden in der Praxis durchaus auch Positionen vertreten oder formelle Fehler machen, die ein Gericht später beanstanden könnte. Häufig ist es auch möglich, an Stelle der Verhängung einer möglichen Geldbuße mit der Behörde eine einvernehmliche und für alle Seiten akzeptable Lösung zu finden.
Tim Wybitul ist Partner bei Latham & Watkins in Frankfurt. Er berät zum Datenschutz und zur Cybersecurity.
Neue EU-Leitlinien zur Berechnung von Geldbußen: . In: Legal Tribune Online, 20.05.2022 , https://www.lto.de/persistent/a_id/48520 (abgerufen am: 18.11.2024 )
Infos zum Zitiervorschlag