Christian Horz - stock.adobe.com
Wie Bußgelder bei Datenschutzverletzungen berechnet werden
Die DSGVO enthält keine konkrete Vorgabe, wie die Höhe des Bußgeldes bei Datenschutzverletzung berechnet wird. Nun hat der Europäische Datenschutzausschuss eine Leitlinie erstellt.
Ohne Zweifel hat die mögliche Höhe der Bußgelder bei Eintreten einer Datenschutzverletzung der Datenschutz-Grundverordnung (DSGVO) einiges an Rückenwind gegeben. Das war und ist auch so beabsichtigt. So besagt die DSGVO: „Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen (...) für Verstöße gegen diese Verordnung (...) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“.
Abschreckend klingt dies auf jeden Fall: „Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist“.
Doch wie hoch ist die Geldbuße wirklich? Nun sollte es einem Unternehmen nicht darum gehen, die Höhe der möglichen Geldbuße gegen den Aufwand für den Datenschutz abzuwiegen. Das wäre falsch gedacht, denn Geldbußen sind nicht die einzigen, möglichen Folgen einer Datenschutzverletzung.
Doch es geht einem Unternehmen ohne Frage darum, dass eine Datenschutzverletzung in dem einen EU-Land nicht die eine Geldbuße nach sich zieht, in dem anderen EU-Land aber eine höhere oder niedrigere. Immerhin soll die DSGVO doch den Datenschutz harmonisieren.
Was die DSGVO zu Geldbußen sagt
Ein Blick in die DSGVO zeigt, dass es durchaus Punkte gibt, die bei der Bemessung der Geldbuße berücksichtigt werden sollen. Dazu gehören unter anderem „Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens und der Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen“.
Diese hier beispielhaft genannten Kriterien sowie die weiteren Faktoren, die die DSGVO zur Bestimmung der Höhe des Bußgeldes nennt, sind aber für alle Aufsichtsbehörden in der EU gleich. Trotzdem unterscheiden sich die Bußgelder nach DSGVO, die in den verschiedenen EU-Ländern verhängt werden.
Nun sind die Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß DSGVO völlig unabhängig. Trotzdem ist es für Unternehmen schwer nachvollziehbar, wenn eine Datenschutzverletzung in einem EU-Land zu einem hohen Bußgeld führt, in einem anderen dagegen vielleicht zu gar keinem.
Ein Fall für den Europäischen Datenschutzausschuss
Die DSGVO sieht vor, dass der Europäische Datenschutzausschuss (EDSA) die einheitliche Anwendung der Verordnung sicherstellt. Zu den Aufgaben des EDSA gehört ganz konkret die Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Festsetzung von Geldbußen gemäß DSGVO.
Wie wichtig solche Leitlinien für die Aufsichtsbehörden sein können, zeigt sich am Beispiel der Datenschutzaufsicht von Irland und WhatsApp aus September 2021. Hier hatte sich der EDSA zu der Festlegung des Bußgeldes geäußert. In diesem Fall stellte der EDSA unter anderem fest, dass der konsolidierte Umsatz der Muttergesellschaft (Facebook Inc.) in die Umsatzberechnung und damit die Kalkulation der Geldbuße einzubeziehen ist.
Darüber hinaus hat der EDSA erstmals eine Klarstellung zur Auslegung der Sanktionsvorgaben nach DSGVO veröffentlicht: Bei mehreren Verstößen bei denselben oder verbundenen Verarbeitungsvorgängen sollten alle Verstöße bei der Berechnung der Höhe der Geldbuße berücksichtigt werden. Dies gilt ungeachtet der Pflicht der Aufsichtsbehörden, die Verhältnismäßigkeit der Geldbuße zu berücksichtigen und den in der DSGVO festgelegten Höchstbetrag der Geldbuße einzuhalten, so der EDSA.
Vor kurzem hat der EDSA nun seine Leitlinien zur Berechnung der Geldbußen veröffentlicht.
Berechnung der Geldbußen nach DSGVO sollen harmonisiert werden
Die Leitlinien enthalten unter anderem harmonisierte „Ausgangspunkte“ für die Berechnung einer Geldbuße. Dabei werden drei Elemente berücksichtigt: die Kategorisierung von Verstößen nach ihrer Art, die Schwere des Verstoßes und der Umsatz eines Unternehmens.
Die Vorsitzende des EDSA, Andrea Jelinek, sagte: „Von nun an werden Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum dieselbe Methode zur Berechnung von Geldbußen anwenden. Dies wird die weitere Harmonisierung und Transparenz der Bußgeldpraxis der Datenschutzbehörden fördern. Die individuellen Umstände eines Falls müssen immer ein entscheidender Faktor sein, und Datenschutzbehörden spielen eine wichtige Rolle dabei, sicherzustellen, dass jede Geldbuße wirksam, verhältnismäßig und abschreckend ist.“
Die neuen Leitlinien legen eine mehrstufige Berechnungsmethodik fest. Zunächst müssen die Datenschutzbehörden feststellen, ob es sich bei dem betreffenden Fall um einen oder mehrere Fälle sanktionsfähigen Verhaltens handelt und ob sie zu einem oder mehreren Verstößen geführt haben. Damit soll geklärt werden, ob alle Verstöße oder nur einige von ihnen mit einer Geldbuße belegt werden können.
Zudem müssen die Datenschutzbehörden erschwerende oder mildernde Faktoren in Betracht ziehen, die die Höhe der Geldbuße erhöhen oder verringern können, wofür der EDSA eine einheitliche Auslegung bereitstellt. Dabei gilt es, dass die Höchstbeträge nach DSGVO nicht überschritten werden.
Abschließend müssen die Datenschutzbehörden analysieren, ob der berechnete endgültige Betrag die Anforderungen an Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt oder ob weitere Anpassungen des Betrags erforderlich sind.
Wer nun eine Formel zur Berechnung der möglichen Geldbuße erhofft hatte, wird enttäuscht sein, aber letztlich kann es dies kaum geben, zu komplex sind die Einflussfaktoren, zu verschiedenen die einzelnen Fälle der Datenschutzverletzungen.