DSGVO-Bußgelder: Neue Leitlinie des EDSA veröffentlicht
Der Europäische Datenschutzausschuss (EDSA) hat im Mai dieses Jahres neue Leitlinien zum Berechnen von Bußgeldern veröffentlicht. Grund genug, Euch mit dem heutigen Beitrag einen Überblick über DSGVO-Bußgelder zu verschaffen: Ihr erfahrt mehr über die Hintergründe zur neuen Leitlinie sowie zu den Zielen und Verfahren beim Bemessen von DSGVO-Bußgeldern. Außerdem geben wir Euch Handlungsempfehlungen an die Hand und zeigen, was wir für Euch tun können, um DSGVO-Bußgelder möglichst zu vermeiden.
DSGVO Bußgelder: Hintergründe zur Leitlinie des EDSA
Schon seit einer Weile lesen wir immer wieder von hohen DSGVO-Bußgeldern, die in Folge der von Datenschutzverstößen verhängt werden. Dass diese Bußgelder in Abhängigkeit von der Unternehmensgröße, der Art des Vergehens und des Kooperationswillen bei der Zusammenarbeit mit den Behörden kalkuliert werden, haben wir bereits in unserem Beitrag „DSGVO-Bußgelder: Wie hoch sind die Strafen für Datenschutz-Verstöße?“ aufgezeigt. Wie das Beispiel des Versandriesen Amazon zeigt, können Bußgelder tatsächlich schwindelerregende Höhen annehmen.
Um die Höhe der DSGVO-Bußgelder so einheitlich wie bei derzeit 27 EU-Mitgliedsstaaten möglich gestalten zu können, hat die EU-Kommission in Art. 70 DSGVO festgeschrieben, dass der Europäische Datenschutzausschuss (EDSA) als Abstimmungsgremium der EU-Datenschutzbehörden Leitlinien fürs einheitliche Anwenden der Bußgeldvorschriften erlassen kann. Am 12. Mai 2022 hat der EDSA deshalb die neue Leitlinie zum Berechnen von DSGVO-Bußgeldern zur Konsultation veröffentlicht.
Das übergeordnete Ziel dieser Leitlinie ist es, das Bußgeldrecht in den EU-Mitgliedsstaaten zu harmonisieren. Sie richtet sich vorrangig an die Datenschutz-Aufsichtsbehörden der Länder, da diese für das Berechnen von Geldbußen verantwortlich sind (Vgl. Art. 83 DSGVO).
Ziele und Verfahren zum Bemessen der DSGVO-Bußgelder
Der Leitlinie zufolge sollen DSGVO-Bußgelder künftig über eine standardisierte Methodik kalkuliert werden, die sich über fünf Stufen zieht:
• Stufe 1: Relevante Verarbeitungsvorgänge werden ermittelt, um festzustellen, ob sanktionierbare Handlungen vorliegen.
• Stufe 2: Der Ausgangswert für die Bußgeldberechnung wird bestimmt. Dabei spielen die Klassifizierung des Verstoßes, seine Schwere und der Umsatz des Unternehmens entscheidende Rollen.
• Stufe 3: Belastende sowie mildernde Umstände wie frühere oder gegenwärtige Verstöße werden bewertet.
• Stufe 4: Relevante Maximalbeträge für verschiedene Verarbeitungsvorgänge werden als Höchstgrenze des Bußgelds identifiziert.
• Stufe 5: Der daraus entstehende Betrag wird in Bezug darauf bewertet, ob die Strafe wirksam, abschreckend, verhältnismäßig und abschreckend ist, wie es die DSGVO fordert.
Seit Bestehen der DSGVO war nicht immer nachvollziehbar, warum einige Mitgliedsstaaten eher niedrige, andere eher hohe DSGVO-Bußgelder verhängt haben. Genau dies soll durch die EDSA-Leitlinie zum Berechnen der DSGVO-Strafen geändert werden. Diese angestrebte Vereinheitlichung soll dazu führen, dass gerade umsatzstarke Großkonzerne höhere DSGVO-Bußgelder zahlen müssen. So möchte die europäische Gesetzgebung erreichen, dass der Anreiz, sich an die Vorgaben der DSGVO zu halten, auch für die umsatzstarken Konzerne vorhanden ist.
Folgen für die Praxis
Die neue Leitlinie für DSGVO-Bußgelder bleibt nicht folgenlos:
• Vereinheitlichung: Bestenfalls führt die Leitlinie zu einer einheitlicheren Handhabung der Bußgelder durch die Aufsichtsbehörden. DSGVO-Strafen werden nachvollziehbarer.
• Abschreckung: Diese neu entstehende Transparenz in der Kalkulation der DSGVO-Bußgelder dürfte eine abschreckende Wirkung haben – gerade für umsatzstarke Unternehmen. In der Folge optimieren – so bleibt zu hoffen – viele ihre Datenschutzpraktiken.
• Verbindliches Berechnungsmodell: Das nun erschienene EDSA-Bußgeldmodell löst vorige Konzepte auf nationaler Ebene ab; das neue Konzept ist für die Datenschutzbehörden verbindlich anzuwenden.
EDSA-Leitlinie: Handlungsempfehlung
Noch bis zum 27. Juni 2022 ist es für interessierte Personen, Unternehmen und Vereinigungen möglich, Anmerkungen zur Leitlinie einzureichen. Anschließend werden – basierend auf dem Feedback – durch den EDSA entsprechende Änderungen an der neuen Leitlinie vorgenommen.
Wir empfehlen, dass Ihr Euch schon jetzt mit der Bußgeld-Leitlinie des EDSA beschäftigt, auch wenn es noch zu Anpassungen kommen kann. Prüft Eure Datenschutzorganisation auf Schwachstellen, errechnet ein Worst-Case-Szenario und – wichtig – bildet Rücklagen. Jede Datenverarbeitung hat automatisch ein Risiko. Einen hundertprozentigen Schutz vor einer Datenschutzverletzung gibt es nicht und somit kann auch ein Bußgeld nie komplett ausgeschlossen werden.
DSGVO korrekt umzusetzen, ist wichtiger denn je
Wir empfehlen Euch außerdem einen kleinen Perspektivwechsel: Seht nicht den drohenden Zeigefinger in der Leitlinie für DSGVO-Bußgelder. Besser ist es doch, sie als Chance wahrzunehmen: Mithilfe der EDSA-Leitlinie für Datenschutz-Strafen könnt Ihr Bußgeldrisiken besser einschätzen, auch wenn die endgültige Höhe eines etwaigen Bußgelds natürlich immer von den Umständen des Einzelfalls abhängt.
Am besten ist es natürlich, gar nicht erst Gefahr zu laufen, mit DSGVO-Bußgeldern sanktioniert zu werden. Dafür müssen Inhalte der DSGVO korrekt umgesetzt werden, um die Risiken zu senken – und dabei unterstützen wir Euch mit Herz und Hand: Unser Beraterteam unterstützt Euch gerne und findet passgenaue und praktikable Lösungen. Neugierig geworden? Dann nehmt gerne unverbindlich Kontakt zu uns auf!