Guidelines des EDSA zur Berechnung von Bußgeldern nach der DSGVO

Aufsichtsbehörden

Diese Guidelines des Europäischen Datenschutzausschusses (EDSA) zur Bemessung von Bußgeldern nach der DSGVO sind von vielen sehnlich erwartet worden (oder vielleicht auch nicht). Und jetzt ist die erste Version veröffentlicht worden, die sich noch im „Public Consultation“-Status befindet:

Erster Eindruck

Ich konnte das Dokument nur überfliegen, da es gerade erst vor ein paar Minuten veröffentlicht worden ist.

Der EDSA will offenbar bei der Bemessung von Bußgeldern folgende Vorgehensweise wählen:

Im ersten Schritt soll eine Einstufung der Schwere des Verstoßes erfolgen. Dabei sollen diese Aspekte berücksichtigt werden:

  1. Schwere des Verstoßes in jedem einzelnen Fall
  2. Art, Schwere und Dauer des Verstoßes
  3. Vorsätzlicher oder fahrlässiger Charakter der Zuwiderhandlung
  4. Kategorien der betroffenen personenbezogenen Daten
  5. Einstufung der Schwere des Verstoßes und Ermittlung des angemessenen Ausgangsbetrags
  6. Umsatz des Unternehmens im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße

Hinzu kommen dann noch Erwägungen zu erschwerenden und mildernden Umständen.

Im Gegensatz zum sehr umstrittenen Berechnungsmodell der deutschen Aufsichtsbehörden betont der EDSA, dass die Beurteilung der Bußgeldhöhe keine mathematische Berechnung sei.

Maßstab: Der Ausgangsbetrag

Die Berechnung des Bußgeldes soll immer von einem Ausgangsbetrag ausgehen:

  • Bei der Berechnung des Bußgeldes für Verstöße von geringer Schwere legt die Aufsichtsbehörde den Ausgangsbetrag für die weitere Berechnung auf einen Wert zwischen 0 und 10 % des geltenden gesetzlichen Höchstbetrags fest.
  • Bei der Berechnung der Geldbuße für Verstöße mittlerer Schwere legt die Aufsichtsbehörde den Ausgangsbetrag für die weitere Berechnung auf einen Wert zwischen 10 und 20 % des geltenden gesetzlichen Höchstbetrags fest.
  • Bei der Berechnung der Bußgelder für schwerwiegende Verstöße legt die Aufsichtsbehörde den Ausgangsbetrag für die weitere Berechnung auf einen Wert zwischen 20 und 100 % des geltenden gesetzlichen Höchstbetrags fest.

Generell soll dabei gelten: Je schwerer der Verstoß innerhalb seiner Kategorie ist, desto höher soll der Ausgangsbetrag sein.

Der EDSA will dabei Ausgangsbeträge ständig überprüfen und bei Bedarf anpassen.

In den Guidelines selbst finden sich dann einige Beispiele mit Fällen zur Bußgeldbemessung, die ganz illustrativ sind.

Fazit

Auf den ersten Blick scheint das Konzept des EDSA ausgewogener zu sein als das Konzept der deutschen Aufsichtsbehörden. Das hat vorrangig damit zu tun, dass es mehr Flexibilität und weniger Starrheit zu bieten scheint.

Allerdings hat das Papier deutlich explosives Material in sich. Denn bei umsatzträchtigen Unternehmen oder Unternehmensgruppen (der EDSA legt hier erwartungsgemäß den weiten Unternehmensbegriff an), kann ein mittelschwerer Verstoß schon früh zu sehr empfindlichen Geldbußen führen. Ob dies dann wirklich noch verhältnismäßig ist – gerade wenn es um ein untergeordnetes Unternehmen einer Unternehmensgruppe geht, darf wahrlich bestritten werden.

Wir werden alle dieses Dokument in Ruhe sichten müssen, um dann in Ruhe bewerten zu können, was davon zu halten ist.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.