Vereinheitlichung der DSGVO-Bußgeldberechnung - EDSA stellt neue Leitlinie vor

Der europäische Datenschutzausschuss (EDSA) hat am 12. Mai 2022 Leitlinien zur Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße veröffentlicht (Leitlinie 05/2022). Der EDSA besteht aus Vertretern der nationalen Datenschutzbehörden aller Mitgliedstaaten der EU und dem europäischen Datenschutzbeauftragten. Er ist gemäß Artikel 70 DSGVO berufen, die einheitliche Anwendung der DSGVO sicherzustellen. Nach Artikel 70 Absatz 1 lit. k DSGVO ist der EDSA zur Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Festsetzung von Geldbußen gemäß Artikel 83 DSGVO befugt. Ziel der Richtlinie ist es, eine europaweite kohärente Anwendung und Durchsetzung der DSGVO zu schaffen, die durch die vereinheitlichte Berechnungsgrundlage hergestellt werden. Die Praxis hat gezeigt, dass die Bußgelder je nach Land zu stark variieren, da manche nationale Behörden den Bußgeldrahmen der DSGVO weit ausreizen, wohingegen andere noch sehr zögerlich vorgehen.

Am 14.10.2019 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), ein Zusammenschluss der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein Konzept zur Bußgeldbemessung für Deutschland vorgestellt. Die Leitlinie der EDSA wird nun die Frage der Bußgeldbemessung europarechtlich vereinheitlichen, ohne die individuelle Festlegung eines Bußgeldes durch die nationalen Behörden vorwegzunehmen. Der EDSA betont dabei, dass die Leitlinie 05/2022 nicht als mathematische Formel zu verstehen ist und die endgültige Entscheidung immer noch im Ermessen der Behörde steht. Insbesondere sollte betont werden, dass diese Leitlinien nicht jede mögliche Besonderheit eines Falles vorwegnehmen kann und in dieser Hinsicht keine erschöpfende Anleitung für Behörden darstellt.

Methode zur Berechnung der Bußgeldhöhe

Das Berechnungsmodell der EDSA besteht aus einer 5-Schritte-Prüfung:

1. Schritt: Identifizierung der gegenständlichen Verarbeitungsvorgänge und Feststellung, ob Art. 83 Abs. 3 DSGVO einschlägig ist (Kapitel 3 der Leitlinie)

Zunächst muss geprüft werden, welches Verhalten und welche Verstöße dem Bußgeld zugrunde liegen. Die Behörde muss feststellen, ob verschiedene oder ein und dasselbe sanktionierbare Verhalten vorliegen. Hierbei ist es auch möglich, dass ein und dasselbe Verhalten zu einer Reihe verschiedener Zuwiderhandlungen führt.

Bei der Feststellung verschiedener Verhaltensweisen wird die Behörde getrennt berechnete Bußgelder je Verhalten ahnden. Bei ein und demselben Verhalten mit einer Reihe von mehreren Zuwiderhandlungen, die nebeneinander anwendbar sind, wird das Bußgeld unter Berücksichtigung aller anwendbaren Verstöße berechnet, wobei zu beachten ist, dass der rechtliche Höchstwert durch den höchsten Betrag einer Zuwiderhandlung begrenzt ist (Artikel 83 Absatz 3 DSGVO).

2. Schritt: Ermittlung des Ausgangspunktes für weitere Berechnungen auf der Grundlage einer Bewertung von Art und Schwere des Verstoßes sowie des Unternehmensumsatzes (Kapitel 4)

Um eine Harmonisierung der Berechnung von Bußgeldern herbeizuführen, bildet der EDSA einen Ausgangspunkt für die Berechnung, bei dem alle Umstände des Falles berücksichtigt und gewichtet werden. Der Ausgangspunkt besteht aus drei Elementen: (a) die Einstufung der Verstöße nach ihrer Art gemäß Artikel 83 Absätze 4 bis 6 DSGVO, (b) die Schwere des Verstoßes gemäß Artikel 83 Absatz 2 DSGVO und (c) der Umsatz des Unternehmens als ein relevantes Element, das im Hinblick auf die Verhängung einer wirksamen, abschreckenden und angemessenen Geldbuße gemäß Artikel 83 Absatz 1 DSGVO zu berücksichtigen ist.

a) die Einstufung der Verstöße nach ihrer Art gemäß Artikel 83 Absätze 4 bis 6 DSGVO

Zunächst muss die Kategorie des Verstoßes ermittelt werden, um den gesetzlichen Höchstbetrag des Bußgeldes festzulegen. Verstöße gemäß Artikel 83 Absatz 4 DSGVO setzen den Höchstbetrag bei 10 Mio. EUR oder im Fall eines Unternehmens bei bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres fest. Verstöße gemäß Artikel 83 Absätze 5 und 6 DSGVO setzen den Höchstbetrag bei 20 Mio. EUR oder im Fall eines Unternehmens bei bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres fest.

b) die Schwere des Verstoßes gemäß Artikel 83 Absatz 2 DSGVO

Die Behörde muss die in Artikel 83 Absatz 2 DSGVO aufgelisteten Zumessungskriterien der Ermessensentscheidung über die Schwere des Verstoßes zugrunde legen, sodass ein Verstoß mit geringem, mittlerem oder hohem Schweregrad festgestellt werden kann. Der EDSA betont auch hier, dass die Beurteilung keine mathematische Berechnung darstellt, sondern einer gründlichen Bewertung der konkreten Umstände des Falles bedarf. Der Schweregrad bestimmt maßgeblich den Rahmen des Ausgangsbetrages für die weitere Berechnung des Bußgeldes:

• Verstoß mit geringem Schweregrad: Ausgangsbetrag zwischen 0 und 10 % des genannten gesetzlichen Höchstbetrages
• Verstoß mit mittlerem Schweregrad: Ausgangsbetrag zwischen 10 und 20 % des genannten gesetzlichen Höchstbetrages
• Verstoß mit hohem Schweregrad: Ausgangsbetrag zwischen 20 und 100 % des genannten gesetzlichen Höchstbetrages  

Der EDSA führt in der Leitlinie Beispiele für jeden Schweregrad auf. Der Schweregrad wird anhand der in Artikel 83 Absatz 2 DSGVO aufgelisteten Faktoren bestimmt. Die Behörde muss diese Faktoren im Lichte der Umstände des konkreten Falles prüfen und auf der Grundlage dieser Analyse auf den Grad der Schwere schließen, da die Kriterien oft miteinander verwoben sind und der Sachverhalt des gesamten Falles im Zusammenhang bewertet werden muss.

c) Umsatz des Unternehmens als ein relevantes Element

Darüber hinaus muss das verhängte Bußgeld wirksam, abschreckend und verhältnismäßig sein (Artikel 83 Abs 1 DSGVO). Ansatzpunkt ist der Jahresumsatz, da die DSGVO für Kleinstunternehmen und multinationale Konzerne gleichermaßen gilt. Der Jahresumsatz kann also je nach den Umständen des Falles zu erheblichen Erhöhungen oder Senkungen des Bußgeldes führen. Generell lässt sich festhalten: Je höher der Umsatz des Unternehmens ist, desto höher dürfte der Ausgangsbetrag sein.

3. Schritt: Anpassung des Ausgangspunktes anhand von erschwerenden und mildernden Umständen im früheren oder gegenwärtigen Verhalten des Verantwortlichen/Auftragsverarbeiters (Kapitel 5)

Sobald der Rahmen des Bußgeldes durch die genannten Faktoren festgelegt wurde, muss die Behörde nach der Struktur der DSGVO die verschärfenden oder mildernden Umstände berücksichtigen, die in Artikel 83 Abs. 2 DSGVO aufgeführt sind. Hierbei ist zu beachten, dass die Behörde die in Artikel 83 Abs. 2 DSGVO genannten Zumessungskriterien nur ein Mal im Rahmen der Gesamtbetrachtung berücksichtigen soll. Kriterien, die für die Bestimmung des Bußgeldrahmens herangezogen wurden, sind nun verbraucht und im Lichte der Gesamtbetrachtung nicht mehr heranzuziehen.

Insbesondere ist als mildernder Faktor die Rechtzeitigkeit zu betonen. Je eher die oder der Betroffene die Maßnahmen zur Begrenzung des Schadens für die betroffenen Personen ergreift, desto mehr Gewicht kommt dem mildernden Umstand zu. Die Pflicht zur Zusammenarbeit mit der Behörde ist grundsätzlich obligatorisch und daher als neutral und nicht als mildernder Umstand zu bewerten.  

Auch der Zeitpunkt des Verstoßes im Verhältnis zu früheren Verstößen kann berücksichtigt werden. Das heißt, je länger der Zeitraum zwischen einem früheren Verstoß und dem derzeit untersuchten Verstoß zurückliegt, desto geringer ist seine Bedeutung. Das Fehlen früherer Verstöße kann jedoch nicht als mildernder Umstand gewertet werden, da die Einhaltung der DSGVO die Regel ist.

Es lässt sich zusammenfassen, dass alle Maßnahmen, die über die Anforderungen des Artikel 83 Abs. 2 DSGVO hinausgehen, einen mildernden Charakter haben können, insbesondere wenn der Verantwortliche diese rechtzeitig und ohne Aufforderung der Behörde vornimmt.  

4. Schritt: Ermittlung der relevanten gesetzlichen Höchstbeträge für die verschiedenen Verarbeitungsvorgänge - Erhöhungen, die in vorangegangenen oder nachfolgenden Schritten vorgenommen werden, dürfen diesen Betrag nicht überschreiten (Kapitel 6)

Für die Bestimmung des gesetzlichen Höchstbetrages werden Absatz 4 bis 6 DSGVO, Artikel 83 herangezogen, die jeweils einen statischen und einen dynamischen Höchstbetrag enthalten. Statisch ist der Höchstbetrag von bis zu 10 oder 20 Mio. EUR, je nachdem, ob ein Verstoß gegen Absatz 4, 5 oder 6 vorliegt. Der dynamische Höchstbetrag ist auf das jeweilige Unternehmen zugeschnitten und beschreibt den umsatzbezogenen Höchstbetrag, der bei bis zu 2 % oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres des Unternehmens liegt. Gemäß Artikel 83 Abs. 4 bis 6 DSGVO ist der jeweils höhere Betrag anzuwenden. Rechnerisch wird dieses also erst für Unternehmen relevant, wenn der Gesamtjahresumsatz des Unternehmens im vorangegangenen Geschäftsjahr weltweit mehr als 500 Millionen Euro betrug.

Weiterhin wird das Verständnis der EDSA zum Unternehmensbegriff erläutert, der im Wesentlichen auf Artikel 101 und 102 AEUV beruht. Der EDSA positioniert sich darüber hinaus auch zu der Frage, ob Unternehmen allein aufgrund eines Datenschutzverstoßes eines ihrer Mitarbeiter unmittelbar für diesen haften müssen (unmittelbare Verbandshaftung) oder eine (Aufsichts-)Pflichtverletzung einer natürlichen Person vorliegen muss (siehe Kapitel 6 Abschnitt 6.2.1 Rn. 123).

Exkurs

Der EDSA vertritt die unmittelbare Unternehmenshaftung („direct corporate liability“) und hält etwaige entgegenstehende nationale Rechtsvorschriften, die nicht mit der DSGVO und dem Grundsatz der Wirksamkeit vereinbar sind, für nicht anwendbar. Diese Frage ist in der deutschen Rechtsprechung umstritten. Das LG Bonn hat in der Sache vom 11. November 2020 - 29 OWi 1/20 entschieden, dass der Rückgriff auf das deutsche Ordnungswidrigkeitenrecht ausgeschlossen sei und es somit keine ursächlichen und schuldhaften Handlungen einer bestimmbaren natürlichen Person für die Sanktionierung bedarf. Begründet wird die Entscheidung mit der Verwandtschaft der DSGVO zu den Grundgedanken des europäischen Kartellrechts unter Bezugnahme zum Erwägungsgrund 150 sowie dem "effet utile"-Prinzip, nach dem europäische Regelungen möglichst effektiv in den Mitgliedsstaaten umzusetzen seien.

Das LG Berlin hingegen entschied mit Beschluss vom 18. Februar 2021 - 526 OWi LG 1/20 bewusst entgegengesetzt zum LG Bonn, dass eine juristische Person nicht Betroffene in einem Bußgeldverfahren gem. Artikel 83 DSGVO sein kann, da eine Ordnungswidrigkeit nur eine natürliche Person vorwerfbar begehen kann. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Nach Ansicht des LG Berlin findet § 30 OWiG über § 41 Absatz 1 BDSG Anwendung. Gegen den Beschluss vom LG Berlin wurden Rechtsmittel eingelegt, sodass das KG Berlin zur Entscheidung berufen ist. Das KG Berlin hat die Frage dem EuGH am 6. Dezember 2021 im Wege des Vorabentscheidungsersuchens nach Art. 267 AEUV vorgelegt (3 Ws 250/21). Eine Entscheidung steht bisher noch aus.

Der EDSA stellt sich im Ergebnis auf die Seite des LG Bonn und hält die Anwendbarkeit von etwaigen entgegenstehenden nationalen Rechtsvorschriften, die nicht mit der DSGVO und dem Grundsatz der Wirksamkeit vereinbar sind, für nicht anwendbar. Der EDSA ist der Meinung, dass die Behörden oder nationalen Gerichte nicht verpflichtet sein dürfen, in den Ermittlungen oder der Bußgeldentscheidung eine natürliche Person zu bestimmen oder zu identifizieren.

Exkurs Ende

5. Schritt: Finale Bewertung, ob der endgültig berechnete Bußgeldbetrag den Anforderungen der Wirksamkeit, Abschreckung und Verhältnismäßigkeit gemäß Artikel 83 Absatz 1 DSGVO entspricht (Kapitel 7)

Im letzten Schritt soll die Behörde den endgültig berechneten Bußgeldbetrag nachjustieren können und den Bußgeldbetrag anhand der Kriterien der Wirksamkeit, Abschreckung und Verhältnismäßigkeit gemäß Artikel 83 Absatz 1 DSGVO herabsetzen oder erhöhen, um die Durchsetzung der Vorschriften der DSGVO zu verstärken (vgl. Erwägungsgrund 148).

Fazit

Die Leitlinie 05/2022 befand sich noch bis zum 27. Juni 2022 in dem öffentlichen Konsultationsverfahren. Änderungen sind nach Eingang des Feedbacks noch möglich, aber es sind aufgrund bisheriger Konsultationsverfahren keine grundlegenden Änderungen zu erwarten.

Die Kategorisierung von Verstößen nach Schweregrad - und die Gewichtung des jeweils einschlägigen Bußgeldrahmens - kann für die Einschätzung von Bußgeldern sehr hilfreich sein und zeigt aufgrund der Gewichtung, dass der EDSA den schweren Verstößen einen deutlich größeren Rahmen zumisst, sodass hier die Höhe der Bußgelder stark variieren kann.

Der EDSA strebt eine Harmonisierung der Ausgangspunkte und der Methodik zur Berechnung der Geldbuße an, nicht aber eine Harmonisierung des Ergebnisses. Dem Verantwortlichen soll es dadurch nicht ermöglicht werden, ein „Preisschild“ an Datenschutzverstöße durch eine selbstständige Berechnung zu heften. Daher verbleibt trotz Leitlinie noch Rechtsunsicherheit, wie die nationalen Behörden diese Leitlinie anwenden und auslegen, da nur ein sehr grober Orientierungsrahmen geschaffen wurde. Doch lässt dieser Rahmen erwarten, dass insbesondere bei großen und umsatzstarken Unternehmen höhere Bußgelder auf Grundlage dieser Leitlinie verhängt werden.

Spannend bleibt die Frage der unmittelbaren Unternehmenshaftung, da die Entscheidung des EuGH noch aussteht. Der EuGH könnte der Ansicht des EDSA folgen, was gravierende Folgen für die deutsche Datenschutzpraxis haben würde. Das Ausstellen eines Bußgeldbescheides wäre für die deutschen Datenschutzbehörden an weniger Voraussetzungen geknüpft, da diese nicht mehr die ursächliche und schuldhafte Handlung einer bestimmbaren natürlichen Person darlegen müssten. Verantwortlichen wiederum bliebe ein wertvoller Argumentationsweg zur Verteidigung versperrt.