Bei einem Verstoß gegen die DSGVO fallen Bußgelder an. Diese fallen mangels einheitlicher Regelungen bisher sehr unterschiedlich aus. Mit der neuen Leitlinie 04/2022 stellt der Europäische Datenschutzausschuss (EDSA) ein mögliches europaweites Bußgeldmodell vor.

Alles wichtige zum neuen Busgeldmodell des EDSA erfahren Sie hier.

Bisherige Bußgelder

Bei einem Verstoß gegen die DSGVO können Bußgelder nach Art. 83 DSGVO anfallen. Es bestehen bereits Leitlinien dazu, in welchen Fällen Bußgelder zu verhängen sind („ob“). Bezüglich der Höhe der Bußgelder besteht europaweit Uneinigkeit, sodass die Höhe der Bußgelder in einigen europäischen Ländern grundsätzlich höher ausfällt als in anderen Ländern. Diese erheblichen Unterschiede in der Bußgeldpraxis nutzen Unternehmen bei ihrer Standortwahl zum Teil strategisch aus. Außerdem zeichnet sich die bisherige Bußgeldpraxis durch mangelnde Vorhersehbarkeit und Planbarkeit aus. Die Wertungskriterien, nach denen die Bußgelder festgelegt werden, sind meist kaum noch ersichtlich.

Das neue Bußgeldmodell

Nach dem neuen Berechnungsmodell des EDSA sollen Bußgelder in Zukunft in fünf Schritten berechnet werden.

Schritt 1: Bestimmung und Abgrenzung relevanter Datenverarbeitung

Zunächst ist zu untersuchen, welche Datenverarbeitung konkret gegen die DSGVO verstoßen hat. Dabei ist zu klären, ob es sich um eine oder mehrere Verarbeitungen handelt und ob diese in einem Konkurrenzverhältnis zueinander stehen (vgl. Art. 83 III DSGVO).

Schritt 2: Bestimmung der Ausgangsgröße für Bußgeldberechnung

Im zweiten Schritt wird die Ausgangsgröße des Bußgeldes bestimmt. Zunächst betrachtet man dafür die mögliche Reichweite (Minimal- und Höchstbetrag nach DSGVO). Innerhalb dieser Grenzen gibt es vier Kriterien zur genaueren Festsetzung der Höhe des Bußgeldes: Die Art des Verletzungstatbestandes (formal Art. 83 IV DSGVO oder materiell Art. 83 V und VI DSGVO), die Schwere der Verletzung, die subjektive Komponente (Vorsatz oder Fahrlässigkeit) und die betroffene Datenkategorie. Nach diesen Kriterien ist nach einer Gesamtschau und Gesamtbewertung eine Ausgangsgröße zu bestimmen. Je nach Umsatz des betroffenen Unternehmens soll zudem eine prozentuale Höchstgrenze für Bußgelder bestehen.

Schritt 3: Bewertung schärfender und mildernder Umstände

In einem dritten Schritt werden dann erhöhende und mindernde Faktoren untersucht. Die Leitlinie stellt dazu Interpretationshilfen für die in Art. 83 II lit. c-k DSGVO genannten Kriterien auf.

Schritt 4: Bestimmung Höchstgrenzen

Das neue Bußgeldmodell nimmt in einem vierten Schritt Bezug auf die Höchstgrenzen aus Art. 83 IV-VI DSGVO und die Deckelung auf bestimmte Prozentwerte des Umsatzes.

Schritt 5: Feinjustierung

Im letzten Schritt ist eine Feinjustierung vorzunehmen, die Wirksamkeit, Verhältnismäßigkeit und Abschreckung sicherstellen soll. Die Gesamtbestimmung berücksichtigt damit die Zielvorgaben gem. Art. 83 I DSGVO.

Bedeutung des Bußgeldmodells für die Praxis

Ziel des neuen Bußgeldmodells des EDSA ist es, Bußgelder zu vereinheitlichen und damit die Rechtspraxis zu erleichtern. Gleichzeitig soll aber der Aspekt der Abschreckung gewahrt werden. So werden vor allem Unternehmen mit hohen Umsätzen nach dem neuen Bußgeldmodell höhere Bußgelder zahlen müssen.

Nach der Leitlinie haften Unternehmen außerdem unmittelbar für das datenschutzrechtliche Fehlverhalten ihrer Mitarbeiter. Unternehmen sollten deshalb immer sicherstellen, dass ihre Mitarbeiter entsprechend geschult sind, um Risiken zu minimieren.

Aktuell befindet sich die Leitlinie noch im Konsultationsverfahren. Dass bedeutet, dass sie noch keine rechtliche Geltung hat, in naher Zukunft aber in nahezu dieser Fassung verabschiedet werden wird.

Benötigen Sie Unterstützung im Bereich Datenschutz in Ihrem Unternehmen, um Bußgeldern vorzubeugen? Unser Team an Experten hilft Ihnen gern weiter!

DSB buchen
de_DEDeutsch