Neue Leitlinien zur Berechnung von Bußgeldern geben einen Vorgeschmack, wie künftig in der EU datenschutzrechtliche Bußgelder berechnet werden sollen. [...]
Die jüngst veröffentlichten Leitlinien zur Berechnung von DSGVO-Bußgeldern sind noch nicht final, denn bis zum 27. Juni 2022 hat der Europäische Datenschutzausschuss (EDSA) noch Feedback im öffentlichen Konsultationsverfahren eingeholt. Die Leitlinien 04/2022 sind eine Ergänzung zum Working Paper 253 aus dem Jahr 2017, in dem die Anwendung und Festsetzung von Geldbußen beschrieben sind. Auf rund 40 Seiten erläutert der EDSA, auf welcher Grundlage künftig europäische Datenschutzbehörden Bußgelder berechnen sollen. Ziel dabei ist eine EU-weite Harmonisierung und Transparenz in der Bußgeldpraxis.
Die Berechnung soll auf Basis von fünf Stufen erfolgen: In Stufe eins ist die zu sanktionierende Verarbeitung zu identifizieren und es soll bestimmt werden, welches Verhalten und welche datenschutzrechtlichen Verstöße zu einer Geldbuße führen sollen.
In Stufe zwei erfolgt dann die Festlegung der Ausgangshöhe der Geldbuße und die Einstufung der Schwere des Verstoßes unter Berücksichtigung des Umsatzes des Unternehmens. Danach (Stufe drei) soll eine Anpassung des Wertes anhand verschärfender oder mildernder Umstände im früheren oder gegenwärtigen Verhalten des Verantwortlichen/Auftragsverarbeiters erfolgen.
Auf der vorletzten Stufe soll die zuständige Behörde ermitteln, welches die einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verarbeitungsvorgänge sind, die von den vorangegangen oder nachfolgenden Stufen nicht überschritten werden dürfen. Final erfolgt dann eine Bewertung des Betrags in Bezug darauf, ob die Geldbuße wirksam, abschreckend und verhältnismäßig ist.
Wichtig ist dabei: Es soll die Methodik harmonisiert werden, nicht die Ergebnisse – denn eine genaue mathematische Berechnung der zu erwartenden Geldbuße anhand der Leitlinien ist nicht möglich. In dem Dokument wird an verschiedenen Stellen betont, dass die endgültige Höhe der Geldbuße von allen Umständen des Einzelfalls abhängt.
Da war doch was…?
Genau! Die deutschen Aufsichtsbehörden hatten im Jahr 2019 selbst ein Berechnungssystem veröffentlicht, das den Jahresumsatz als wichtigstes Kriterium festlegte und damit gewissermaßen berechenbarer war. Doch genau dies führte dazu, dass das Konzept sich nicht durchsetzen konnte: Das Landgericht Bonn verwarf das System in seinem Urteil vom 11. November 2020 (AZ: 29 OWi 1/20) und reduzierte die danach bemessene Geldbuße auf ein Zehntel.
Ist das neue Konzept daher auch zum Scheitern verurteilt? Juristische Antwort: Es kommt drauf an. Anders ist, dass nach dem Konzept des EDSA letzten Endes die Einzelfallprüfung entscheidend ist. Inwieweit sich der gewünschte Harmonisierungseffekt einstellt, wird sich genauso zeigen wie, ob das neue Modell in Gerichtsentscheidungen Bestand hat.
Es ist nicht auszuschließen, dass der EDSA auf Grundlage des Feedbacks noch Änderungen vornehmen wird. Es lohnt sich für Unternehmen jedoch schon jetzt, die Leitlinien zu berücksichtigen, denn sie spiegeln die gemeinsame Linie der europäischen Aufsichtsbehörden wider.
Schließlich können Unternehmen auch essenzielle Rückschlüsse aus der dargelegten Methodik ziehen: Insbesondere die Erwägungen der Behörden zur Bewertung erschwerender und mildernder Umstände aufgrund des Verhaltens des datenschutzrechtlich Verantwortlichen/Auftragsverarbeiters zur Erhöhung oder Herabsetzung von Geldbußen (Stufe drei) dürfte praxisrelevant sein.
*Melanie Ludolph ist Rechtsanwältin bei Fieldfisher, einer internationalen Wirtschaftskanzlei mit besonderer Expertise im Technologie-, IT- und Datenschutzrecht. Zuvor hat sie mehrere Jahre für ein spezialisiertes Beratungsunternehmen gearbeitet und dort Unternehmen und internationale Konzerne aus unterschiedlichen Branchen zu allen Themen des Datenschutzrechts und angrenzender Rechtsgebiete beraten. Für com! professional stellt Melanie Ludolph jeden Monat aktuelle Themen aus dem IT- und Datenschutzrecht vor.
Be the first to comment