Europaweite Harmonisierung der Bußgelder bei Datenschutzverstößen – Die neue EDSA-Leitlinie

Zuletzt aktualisiert am 28. Juni 2023

Die Datenschutzbehörden in Europa haben lange auf eine einheitliche Regelung zur Bußgeldzumessung bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) gewartet. In der Sitzung vom 24. Mai 2023 hat der Europäische Datenschutzausschuss (EDSA) nach jahrelanger Vorarbeit nun die endgültigen Leitlinien zur Bußgeldzumessung angenommen.

Mit dieser neuen Leitlinie wird die Bußgeldpraxis europaweit harmonisiert, um gleiche Sanktionen und Abschreckungswirkungen zu gewährleisten. Die Berechnungsmethodik umfasst fünf Schritte und ist stark umsatzorientiert.

In diesem Blogbeitrag werden wir einen genaueren Blick auf die neuen Leitlinien werfen und ihre Auswirkungen auf die Bußgeldpraxis und den Datenschutz im EWR diskutieren. 

Ein wichtiger Aspekt der neuen Leitlinien ist die Einführung eines einheitlichen Maßstabs für die Bußgeldzumessung im EWR. Deutschland war an der Entwicklung dieser Leitlinien beteiligt, insbesondere mit den Aufsichtsbehörden Berlins, Hessens und des Bundes.

Die neue einheitliche Methode zur Berechnung der Bußgelder soll zu einer Harmonisierung der Bußgeldpraxis in ganz Europa führen.

Das Zumessungsverfahren der neuen Leitlinie besteht aus insgesamt fünf Schritten, die bei der Bußgeldberechnung berücksichtigt werden. 

Im ersten Schritt wird untersucht, ob mehrere Gesetze durch dieselbe Handlung oder durch mehrere Handlungen verletzt wurden. Der Gesamtbetrag der Geldbuße sollte auf das einfache gesetzliche Höchstmaß des schwersten Verstoßes beschränkt sein. 

Im zweiten Schritt wird anhand des Schweregrads der Tat und des Umsatzes des Unternehmens ein Ausgangsbetrag für die weitere Bußgeldberechnung ermittelt. Dabei werden Art, Schwere und Dauer des Verstoßes, die Verschuldensform und die betroffenen Kategorien personenbezogener Daten bewertet. Es werden Ausgangsbeträge für drei Grade (niedrig, mittel, hoch) festgelegt und sechs Größenklassen zur Einordnung des Umsatzes verwendet.

Im dritten Schritt werden die weiteren erschwerenden und mildernden Umstände berücksichtigt. Dabei werden das Verhalten der Verantwortlichen oder Auftragsverarbeiter:innen, Maßnahmen zur Schadensminderung, der Grad der Verantwortung, frühere Verstöße, die Zusammenarbeit mit Aufsichtsbehörden und weitere Faktoren bewertet. Diese Faktoren können die Höhe der Geldbuße beeinflussen.

Im vierten Schritt wird der gesetzliche Höchstbetrag ermittelt, um sicherzustellen, dass die ermittelte Geldbuße nicht die Höchstgrenze überschreitet.

Im abschließenden fünften Schritt können Anpassungen vorgenommen werden, um einen wirksamen, abschreckenden und verhältnismäßigen Betrag sicherzustellen. Eine erhöhte Buße kann beispielsweise durch einen "Abschreckungsmultiplikator" festgelegt werden. Die Bußgeldhöhe muss angemessen und verhältnismäßig sein und soll sowohl abschreckend als auch wirksam sein, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

Die Einführung der neuen Leitlinien zur Bußgeldzumessung durch den EDSA hat mehrere Auswirkungen und Vorteile für den Datenschutz im EWR:

Die Leitlinien führen zu einer harmonisierten Bußgeldpraxis in ganz Europa, indem sie einen einheitlichen Maßstab für die Bußgeldzumessung einführen. Dadurch wird eine konsistente und vorhersehbare Anwendung der Datenschutzvorschriften ermöglicht – auch bei grenzüberschreitenden Verarbeitungen.

Allerdings haben Aufsichtsbehörden auch einen gewissen Spielraum, in dem sie sich bewegen können z. B. in Bezug auf die Einordnung in einen Schweregrad. Hier gibt es in der Leitlinie anschauliche Beispiele, die konkrete Einordnung wird aber in weiten Teilen der aufsichtsbehördlichen Praxis überlassen. Außerdem können Aufsichtsbehörden Festbeträge einrichten, um Sanktionen bei gleichartigen Verstößen zu beschleunigen. Statt nur die „gelbe Karte“ zu ziehen und zu verwarnen können die Behörden so öfter kleinere Bußgelder verhängen. Das steht somit der Harmonisierung entgegen, erlaubt aber eine schnellere Abarbeitung. 

Die einheitliche und transparente Methode zur Berechnung der Bußgelder hat das Potenzial, abschreckend zu wirken. Unternehmen können nun besser einschätzen, welche Bußgeldhöhen bei Verstößen zu erwarten sind, und sind eher geneigt, angemessene Schutzmaßnahmen zu ergreifen, um Datenschutzverletzungen zu vermeiden.

Zudem wird erwartet, dass das Niveau der Bußgelder im gesamten Europäischen Wirtschaftsraum deutlich ansteigen wird. Zwar führen die breiten Größenklassen zu einer groben Stufung und Sprüngen bei Unternehmen im Grenzbereich der Größenklassen. Das können Aufsichtsbehörden allerdings im fünften Schritt durch die sogenannten Abschreckungsmultiplikatoren regulieren. 

Die neuen Leitlinien ermöglichen eine effektive Durchsetzung des Datenschutzrechts, indem sie die Bußgeldzumessung anhand objektiver Kriterien und Faktoren festlegen. Dies stärkt das Vertrauen der Bürgerinnen und Bürger in den Datenschutz und fördert die Einhaltung der Datenschutzbestimmungen. Außerdem kann so vermieden werden, dass Unternehmen sich gezielt Mitgliedsstaaten mit vermeintlichen geringen Bußgeldern niederlassen.