Neue EDSA – Guidelines für DSGVO-Bußgeld! Drohen nun höhere Bußgelder?

Neue EDSA – Guidelines für Bußgeld Drohen nun höhere Bußgelder?  

Der europäische Datenschutzausschuss EDSA hat neue Richtlinien zur Verhängung von DSGVO – Bußgeldern erlassen. Nach Abschluss der „Public Consultation“ -Phase am 27.06.22 werden sie für die Mitgliedsstaaten verbindlich sein. Worauf Du Dich nun einstellen solltest, wollen wir Dir nun darstellen.

Was beabsichtigt der EDSA mit den Leitlinien?

Durch die Leitlinien soll die Verhängung von Bußgeldern innerhalb der EU nach einheitlichen Standards erfolgen. Insbesondere bei der Bußgeldhöhe gab es bisher erhebliche Unterschiede zwischen den EU – Mitgliedsstaaten.

Die deutsche Aufsichtsbehörde hatte ihre eigenen Leitlinien und andere Länder sind wohl anders vorgegangen. Alle nationalen Leitlinien sind nun aber nicht mehr gültig und werden durch die EDSA – Leitlinien ersetzt.

Wie hoch war die bisher höchste in Deutschland verhängte Strafe wegen Verstößen gegen die EU DSGVO?

Im Oktober 2020 wurde gegen H&M ein Bußgeld in Höhe von 35 Mio. € verhängt. Leitende Angestellte von H&M hatten umfassende Persönlichkeitsprofile ihrer Beschäftigten erstellt. Die Daten dafür hatten sie u.a. aus Befragungen nach Urlaub – oder Krankheitsabwesenheit gewonnen.

Durch Flurgespräche eigneten sich die Führungskräfte weitere Details zum Privatleben der Mitarbeiter an. Eine Einwilligung zur Erstellung der Persönlichkeitsprofile wurde nicht eingeholt.

Werden sich die Geldbußen nun erhöhen?

Letztendlich kann in dem neuen Verfahren eine deutliche Verschärfung im Vergleich zur bisherigen Praxis in Deutschland liegen. Im europaweiten Vergleich waren die Bußgelder in Deutschland bislang eher niedrig. In Deutschland betrug das höchste verhängte Bußgeld, wie gesehen, 35 Mio. €. Wenn Du meinst, das ist bereits ein hoher Betrag, hast Du bestimmt Recht. In manchen anderen Ländern war das Bußgeld aber nochmal deutlich höher, oft ohne, dass offensichtlich wäre, wie sich dieser höhere Betrag rechtfertigt. Dort verhängten die zuständigen Aufsichtsbehörden sogar teils hohe dreistellige Millionenbeträge. Das höchste überhaupt bisher verhängte Bußgeld wurde in Luxemburg gegen Amazon ausgesprochen und beträgt 746 Mio. €.

Weil das neue Verfahren aber, wie der EDSA betont, kein mathematisches Verfahren ist, sondern von den Umständen des Einzelfalls abhängt, bleibt den deutschen Behörden dennoch ein gewisser Spielraum im Umgang mit den Leitlinien.

Wie hoch kann ein nach DSGVO verhängtes Bußgeld ausfallen?

Ein Bußgeld nach der DSGVO kann es in sich haben: Es kann eine Höhe von bis zu 20 Mio. € haben oder von 4% des gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres – je nachdem, welche Summe höher ist (Art. 83 Abs. 4 – 6 DSGVO).

Welche Bedingung müssen Geldbußen nach der DSGVO erfüllen?

Geldbußen nach der DSGVO müssen stets „wirksam, verhältnismäßig und abschreckend“ sein (Art. 83 Abs. 1 DSGVO). Bei der Festsetzung der Bußgeldhöhe muss von der Behörde darüber hinaus auch eine Liste von Umständen des Einzelfalls berücksichtigt werden, s. Art. 83 Abs. 2 DSGVO.

Die Leitlinien des EDSA konkretisieren diese Bedingungen verwaltungsintern für die nationalen Aufsichtsbehörden, indem sie diesen eine konkrete Vorgehensweise vorschreiben.

Welche Vorgehensweise sehen die EDSA – Leitlinien vor?

Die Leitlinien sind im Detail komplex; das Dokument hat 40 Seiten. Wir möchten hier nur eine kurze Zusammenfassung geben und später die einzelnen Schritte noch etwas detaillierter erläutern (aber immer noch nicht erschöpfend). Wenn Du nur einen groben Überblick bekommen möchtest, reicht dieser Abschnitt wahrscheinlich bereits aus und Du kannst manche Punkte weiter unten genauer nachlesen.

Weil die Leitlinien die Festsetzung des Bußgeldes betreffen, gehen sie von einer feststehenden Verletzung der DSGVO aus.

Im Wesentlichen wird das Bußgeld sodann anhand von sechs Schritten bestimmt:

  • Schritt 1: Identifizierung des Datenschutzverstoßes
  • Schritt 2: Einstufung der Schwere des Datenschutzverstoßes
  • Schritt 3: Abwägen der erschwerenden und mildernden Faktoren
  • Schritt 4: Bestimmung des Umsatzes
  • Schritt 5: Prüfung, ob die Geldbuße wirksam, abschreckend und verhältnismäßig ist

Im ersten Schritt wird die Behörde ermitteln, wie genau Du gegen die DSGVO verstoßen hast, d.h. durch welche Handlung.

Dann muss im zweiten Schritt noch ermittelt werden, wie schwer der Verstoß war. Zunächst muss dafür der Datenschutzverstoß nach Art. 83 Abs. 1 DSGVO charakterisiert werden, weil davon der theoretisch mögliche, maximale Bußgeldrahmen abhängt. Wie bereits angedeutet, beträgt das maximale Bußgeld entweder 4 % oder 2 % des maximalen Jahresumsatzes, bzw. 20 oder 10 Mio. €, je nachdem ob der absolute Betrag oder der Anteil am Jahresumsatz höher (!) ist. Für kleinere Unternehmen wird der absolute Betrag maßgeblich sein. Hier kann die Aufsichtsbehörde den Betrag aber nochmal deutlich reduzieren, nämlich auf bis zu 0,2% des maximalen Betrags.

In Abhängigkeit von der Schwere des Verstoßes sehen die Leitlinien vor, dass dieser maximale Bußgeldrahmen jeweils zu einem gewissen Anteil ausgeschöpft werden kann.

Im dritten Schritt werden die übrigen erschwerenden und mildernden Umstände des Einzelfalls in die Erwägung einbezogen.

Im vierten Schritt wird der Umsatz bestimmt, um abschließend festzulegen, welcher Betrag festzusetzen ist.

Im darauffolgenden fünften Schritt wird der ermittelte Betrag nochmals darauf hin geprüft, ob er wirksam, verhältnismäßig und abschreckend ist.  

Schritt 1: Identifizierung des Datenschutzverstoßes

In einem ersten Schritt möchte die EDSA die Datenschutzverletzung identifizieren (Kapitel 3).  Die Guidelines gehen hier darauf ein, ob und wann ein einziger Verstoß gegen die DSGVO vorliegt oder ob es sich um mehrere einzelnen Verstöße handelt.

Waren es mehrere Handlungen waren, muss das Verhältnis dieser Handlungen zueinander untersucht werden: Hängen die Handlungen vielleicht zusammen, d.h. sind sie tatsächlich und normativ als Einheit zu betrachten? Wenn nicht, werden zwei oder mehr verschiedene Bußgelder gegen Dich verhängt, weil Du in mehreren Fällen einen Datenschutzverstoß begangen hast – dann kann es sehr teuer werden.

Hintergrund ist, dass auch mehrere verschiedene Handlungen einen einzigen Verstoß darstellen können. Auch wenn Juristen gerne einzelne Sachverhalte isolieren, bedeutet das nicht, dass das nach der Lebenserfahrung genauso wäre. Das meint Art. 83 Abs. 3 DSGVO, wenn er sagt:

Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

Wenn die Behörde aber dennoch zum Schluss kommt, dass die Verarbeitungsvorgänge nicht gleich oder miteinander verbunden sind, wird sie separate Strafen für jeden Verstoß verhängen. Das kann dann schnell sehr unangenehm und vor allem teuer werden, weil für jede separate Strafe jeweils die Höchstgrenze nach der DSGVO gilt.

Schritt 2: Einstufung der Schwere des Datenschutzverstoßes

Stehen damit die einzelnen Datenschutzverstöße fest, so wird die Datenschutzbehörde den Ausgangspunkt für die Ermittlung der Bußgeldhöhe bestimmen. Das erfolgt wiederum in zwei Teilschritten:

Kategorisierung des Verstoßes

Die Art. 83 Abs. 4 bis 6 DSGVO bestimmen die maximal denkbare Bußgeldhöhe.

Welcher Bußgeldrahmen zur Anwendung kommt, bestimmt sich nach der Art der Verletzung. Wenn Du bspw. Daten ohne Einwilligung verarbeitet hast, ist die höhere Grenze einschlägig.

Bestimmung der Schwere des Verstoßes

Die maximale, gesetzlich zulässige Bußgeldhöhe stellt dann den Maßstab für das tatsächlich zu bestimmende Bußgeld dar. Wie sie bestimmt wird, habe ich bereits oben dargelegt. Das Bußgeld soll abhängig von der Schwere der Verletzung bestimmt werden.

Maßgeblich dafür ist die Schwere des Verstoßes, die sich nach gewissen Umständen des Einzelfalls richten soll.

Solche Umstände hat der EDSA als Kriterien festgelegt. Im Einzelnen sind das:

  • Die Natur des Verstoßes,
  • Reichweite und Zweck der Datenverarbeitung, Grad der Rechtsverletzungen,
  • Dauer des Verstoßes,
  • Vorsätzlicher oder fahrlässiger Charakter des Verstoßes und
  • die Kategorien personenbezogener Daten.

Wurde die Schwere des Verstoßes ermittelt, so beträgt das Bußgeld

  • bei niedriger Schwere zwischen 0 und 10% des Maximalbetrags,
  • bei mittlerer Schwere zwischen 10 und 20% des Maximalbetrags, bzw.
  • bei hoher Schwere zwischen 20 und 100% des Maximalbetrags.

Jetzt wirst Du wahrscheinlich einwenden, dass 10% bei einem Verstoß von mittlerer Schwere immer noch 2 Mio. € beträgt – für kleinere Unternehmen natürlich zu viel. Daher kann die Behörde je nach Jahresumsatz des Unternehmens das Bußgeld reduzieren (sie muss es aber je nach Einzelfall nicht).

Hier dazu ein Beispiel, das auch in den Guidelines gegeben wird:

Beispiel (S. 24 der Guidelines): Ein Start Up hat eine Dating App entwickelt. Es macht einen Jahresumsatz von 500.000 €. Nun stellt sich heraus, dass das Start Up ohne Einwilligung sensible Daten seiner Kunden an verschiedene Dritte verkauft hat, damit diese die Daten analysieren. Das ist natürlich nicht DSGVO – konform (genauer gesagt liegt ein Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO und Art. 9 DSGVO vor). Nach Schritt 1 wird die Behörde den theoretisch möglichen Bußgeldrahmen auf bis zu 20 Mio. € festsetzen. Dann wird sie prüfen, welche Schwere der Verstoß hat: Eine hohe, weil sensible Daten weitergegeben wurden. Das bedeutet, es wären 20% bis 100% des Bußgeldrahmens zu veranschlagen, hier 4 Mio. € bis 20 Mio. €. Weil aber der Jahresumsatz des Start Ups nur 500.000 € beträgt, kann die Behörde auf 0,2% dieses Betrags runtergehen. Das wären 8.000 €. Die EDSA geht aber in dem Beispiel davon aus, dass die Behörde angesichts der Schwere des Verstoßes nicht diesen kleinstmöglichen Betrag festsetzen, sondern zunächst von einem Bußgeld in Höhe von 16.000 € ausgehen wird.

Schritt 3: Abwägen der erschwerenden und mildernden Faktoren

Im dritten Schritt soll der Einzelfall weiterhin im Mittelpunkt stehen. Das Bußgeld kann ja, wie gesehen, potentiell sehr hoch werden. Hier wird also sozusagen die Abwägung in Schritt 2 fortgesetzt.

Die DSGVO gibt hier in Art. 83 den Maßstab vor in Abs. 2 S. 1 :

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; i) Einhaltung der nach Artikel 58Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40oder genehmigten Zertifizierungsverfahren nach Artikel 42 und k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Schritt 4: Wie wird der Umsatz berechnet?

Der EDSA möchte den Umsatz kartellrechtlich bestimmen, d.h. maßgeblich ist der Umsatz der gesamten Unternehmensgruppe und nicht nur der eines einzelnen Tochterunternehmens. Für größere Unternehmen kann sich daraus eine deutliche Verschärfung des Bußgeldrisikos ergeben.

Vom Gewinn soll das Bußgeld dagegen nicht abhängig gemacht werden. Damit wird leider nicht berücksichtigt, dass die Gewinnmargen je nach Branche variieren.

Was bedeutet Corporate Liability und wie verhält sich der EDSA dazu?

In den Leitlinien geht der EDSA auch davon aus, dass es eine sog. direct corporate liability oder direkte Unternehmenshaftung gibt, d.h. dass ein Unternehmen direkt für einen Datenschutzverstoß verantwortlich sein kann. Dabei sollen alle Handlungen oder Unterlassungen von beliebigen Vertretern des Unternehmens (z.B. jedes Mitarbeiters) dem Unternehmen zugerechnet werden können.

Dem deutschen Sanktionsrecht ist die direkte Unternehmenshaftung dagegen fremd. Die einzige Möglichkeit für die direkte Unternehmenshaftung bietet hier § 30 OWiG. Danach kann gegen ein Unternehmen als solches (nur) dann ein Bußgeld verhängt werden, wenn eine Leitungsperson eine die Pflichtverletzung begangen hat, z.B. der Geschäftsführer oder Vorstand. Dahinter steht der Gedanke, dass eine Ordnungswidrigkeit nur einer natürlichen Person vorgeworfen werden kann, nicht aber einem Unternehmen (s. LG Berlin, Beschluss vom 18.02.21).

Der EDSA ist der Auffassung, dass dieser Widerspruch mit dem deutschen Recht unerheblich ist. Er hält die corporate liability für ein Institut des Europarechts, das Vorrang vor dem deutschen Recht hat:

This European Union law principle and scope of corporate liability takes precedence and must not be undermined by limiting it to the acts of certain functionaries (like principal managers) by contradicting national law.

Je mehr Mitarbeiter Dein Unternehmen hat, desto größer ist das Risiko, das sich aus dieser Auffassung für Dein Unternehmen ergibt – denn umso mehr Personen können einen Datenschutzverstoß begehen, der Deinem Unternehmen dann zugerechnet wird. Dann ist auch noch umstritten, ob dafür überhaupt ein Verschulden erforderlich ist, oder ob ein zurechenbarer Datenschutzverstoß reicht.

Ob der EDSA sich damit durchsetzen kann, bleibt abzuwarten, denn der EuGH ist derzeit mit eben diesen Fragen befasst (Az. C-807/21). Das Urteil steht noch aus.

Schritt 5: Ist das Bußgeld wirksam, verhältnismäßig und abschreckend?

In Schritt 5 wird noch ein letztes Mal überprüft, ob das Bußgeld wirksam, verhältnismäßig und abschreckend ist. Hier können also ein letztes Mal im Einzelfall erforderliche Anpassungen vorgenommen werden.

Fazit:

Gerade als Online – Unternehmer solltest Du Deine Risiken neu abwägen. Nicht nur dürften sich die Aufsichtsbehörden nach einer gewissen Eingewöhnungszeit mittlerweile auf die DSGVO eingestellt haben und immer effektiver arbeiten. Die neuen Leitlinien bergen auch das Risiko höherer Bußgelder. Mehr über die DSGVO erfährst du hier.

Rechtsanwalt Kolja Stübing

Kolja Strübing, Rechtsanwalt. Kolja hat in Freiburg und Leipzig seine juristische Ausbildung absolviert. In Freiburg war er lange als studentische Hilfskraft an einem Lehrstuhl tätig. Nun unterstützt er Paragraf 7 als Rechtsanwalt. Sein Vordiplom in Mathematik hilft ihm dabei, auch die technischen Hintergründe zu verstehen. Er ist nun in der Welt zu Hause und lernt gerade surfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.