Das neue europäische Konzept für die Berechnung von Bußgeldern bei Datenschutzverstößen – wird es vorhersehbarer und einheitlicher?

Das neue europäische Konzept für die Berechnung von Bußgeldern bei Datenschutzverstößen – wird es vorhersehbarer und einheitlicher?

Ob das neue Bußgeldkonzept die Vorhersehbarkeit von Bußgeldentscheidungen erhöhen wird, muss es noch zeigen.

Am 12. Mai 2022 hat der Europäische Datenschutzausschuss (EDSA) seine lang erwarteten Guidelines 04/2022 zur Berechnung von Bußgeldern unter der Datenschutzgrundverordnung (DS-GVO) veröffentlicht.

Nachdem sich unmittelbar nach Einführung der DS-GVO viele Datenschutzbehörden erst vorsichtig an die Bebußung von Datenschutzverstößen herantasteten, hat die Sanktionierung gerade im vergangenen Jahr deutlich Fahrt aufgenommen und bis Ende des Jahres zu einem gesamten Bußgeldaufkommen in Höhe von ca. 1,5 Mrd. Euro geführt. Auch im Einzelfall waren die Bußgelder beachtlich, wie die Bußgelder gegen WhatsApp in Höhe von 225 Mio. Euro oder gegen H&M in Höhe von 35,25 Mio. Euro zeigen.

Wo solche Summen aufgerufen werden, bestehen nicht nur besonders hohe Anforderungen an ihre Vorhersehbarkeit, sondern es ist auch dringend geboten, durch Vereinheitlichung einen europäischen Wettbewerb um die unternehmensfreundlichsten Mitgliedstaaten bei der Bebußung zu vermeiden. Bereits 2019 hatten die deutschen und niederländischen Aufsichtsbehörden versucht, unterschiedliche Sanktionierungen durch eigene Bußgeldkonzepte zu korrigieren. Diese blieben jedoch wegen ihrer starken Orientierung am Unternehmensumsatz nicht ohne Kritik. Letztlich zeigten verschiedene prominente Gerichtsverfahren, dass ein Vorgehen gegen Bußgelder durchaus erhebliche Erfolgschancen haben kann. Dies darf letztlich aber auch nicht überraschen, da eine rechtssichere Bebußung bei einem solch neuen Gesetz schwierig ist.

Das nun verabschiedete Konzept des EDSA soll die bereits von der Art.-29-Datenschutzgruppe im Jahr 2017 erlassenen Guidelines WP 253 ergänzen. Der EDSA versteht das neue Konzept dabei als einen schrittweisen Ansatz, der eine einheitliche Basis für die Berechnung von Bußgeldern schaffen soll. Es soll also, wie der EDSA betont, um eine einheitliche Ausgangslage und Methode der Berechnung gehen und nicht um die Erzielung möglichst einheitlicher Berechnungsergebnisse. Die Berechnung von Bußgeldern bleibt damit weiterhin eine Frage des Einzelfalles, die eine umfassende Abwägung aller jeweiligen Umstände erfordert. Die Behörden haben daher weiterhin ein erhebliches Ermessen, gleichwohl müssen die Bußgelder einen deutlich abschreckenden Charakter haben. Anders als beim deutschen Bußgeldkonzept stehen Umsatz und Unternehmensgröße nicht mehr zentral im Vordergrund.

Für die Durchführung der Berechnung sieht das Berechnungskonzept ein insgesamt fünf Schritte umfassendes Prüfungsprogramm vor. In einem ersten Schritt ist demnach zu ermitteln, welche(r) Verarbeitungsprozess(e) die Grundlage der Bußgeldentscheidung bilden soll(en). Sodann ist in einem zweiten Schritt der Ausgangspunkt der Berechnung anhand der jeweiligen Kategorie des Verstoßes (Art. 83 Abs. 4–6), der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 2) sowie des weltweit erzielten Jahresumsatzes eines Unternehmens (Art. 83 Abs. 4 und 5) zu ermitteln. Hiernach sind die in Art. 83 Abs. 2 genannten, erschwerenden oder mildernden Umstände zu würdigen, die zu einer Erhöhung oder Minderung des Bußgeldbetrages führen. Im vierten und fünften Schritt ist schließlich sicherzustellen, dass die Gesamtsumme dem Erfordernis eines wirksamen, verhältnismäßigen und abschreckenden Bußgeldes genügt und nicht die gesetzlichen Maximalsummen nach Art. 83 Abs. 4–6 überschreitet. Auch in diesen Schritten gewährt der EDSA den Aufsichtsbehörden ein Ermessen zur weiteren Anpassung der Bußgeldsumme.

Der neue Berechnungsansatz des EDSA weicht vom derzeitigen Bußgeldkonzept der deutschen Datenschutzbehörden ab. Anders als nach dem deutschen Bußgeldmodell stellt der Unternehmensumsatz nicht mehr den grundlegenden Ausgangspunkt der Berechnung, sondern bloß noch eines von vielen Kriterien zur Reduzierung der Ausgangssumme der weiteren Berechnung dar. Insofern könnten die Guidelines nun so vor allem kleinere Unternehmen entlasten. Umsatzstärkere Unternehmen, insbesondere solche mit mehr als 50 Mio. Umsatz, können jedoch in Zukunft höhere Bußgelder treffen, da auch Behörden, die bisher bei der Verhängung hoher Geldbußen eher zurückhaltend agiert hatten, ihre Praxis an die Leitlinien werden anpassen müssen. Nach Ansicht des EDSA können die Datenschutzaufsichtsbehörden auch unmittelbar Bußgelder gegen Muttergesellschaften für Datenschutzverstöße von Tochtergesellschaften verhängen.

Die Guidelines werden nun nach der am 27. Juni 2022 abgeschlossenen öffentlichen Konsultation zeitnah überarbeitet und final veröffentlicht. Mit gravierenden Änderungen ist erfahrungsgemäß nicht zu rechnen, eher mit Klarstellungen. Die Leitlinien zeigen zwar ein generelles Bemühen, die unterschiedlichen Berechnungsansätze innerhalb der EU stärker zu harmonisieren. Ob aber das neue Bußgeldkonzept die Vorhersehbarkeit von Bußgeldentscheidungen erhöhen wird, muss es noch zeigen. Die stärkere Vereinheitlichung der Ausgangssummen für die Berechnung wird insoweit durch die Guidelines sogleich wieder dadurch relativiert, dass sie den Behörden auf mehreren Ebenen der Bußgeldbemessungen Abweichungsmöglichkeiten einräumen. Hinzu kommt, dass die Behörden bei der Bemessung weiterhin die schwierige Aufgabe haben, innerhalb eines großen – teils mehrere Millionen oder gar Milliarden umfassenden – Bußgeldrahmens operieren zu müssen. Zur Erreichung einer gleichmäßigeren Durchsetzungspraxis der Behörden wird daher in Zukunft vor allem auch die Vereinheitlichung der übrigen Verfahrensschritte – auch jenseits von Bußgeldverfahren – von hoher Bedeutung sein. In jedem Falle senden die Guidelines des EDSA wichtige Signale, die auf eine einheitlichere Sanktionierungspraxis hoffen lassen. Die anfängliche Phase mit wenig Sanktionierung ist längst vorbei. Unternehmen sollten sich daher auf eine zunehmende Sanktionierung einstellen und ihre Datenschutzprogramme regelmäßig überprüfen und anpassen.

Dr. Christian
Schröder
, RA, ist Partner und Leiter der IP/IT- und Datenschutzpraxisgruppe der internationalen Wirtschaftssozietät Orrick, Herrington & Sutcliffe LLP in Düsseldorf.