Bisher ist die Bußgeldbemessung bei Verstößen gegen die DSGVO sehr uneinheitlich. Die verschiedenen Gerichte der verschiedenen Bundesländer (oder der verschiedenen EU-Mitgliedstaaten) sind von unterschiedlichen Methoden zur Bußgeldbemessung ausgegangen. Neue Leitlinien sollen dies in Zukunft verhindern.
Die Datenschutzbehörden der Europäischen Union haben durch das gemeinsame Abstimmungsgremium des Europäischen Datenschutzausschusses (EDSA) am 12. Mai 2022 ein neues Bußgeldmodell beschlossen, wodurch die Bußgeldbemessung auch vereinheitlicht werden soll. Dieses findet sich in den Leitlinien 04/2022 zur Berechnung von Bußgeldern nach der DSGVO und steht momentan zur Konsultation offen. Die Leitlinien für den Einsatz der Gesichtserkennungstechnologie im Bereich der Strafverfolgung sollen den EU- und nationalen Gesetzgebern sowie Strafverfolgungsbehörden eine Orientierungshilfe bei der Einführung und Nutzung von Gesichtserkennungstechnologien bieten.
Das neue Modell im Überblick
Dabei wird die neue Methode zur Bußgeldbemessung in fünf Schritten untergliedert.
Im ersten Schritt ist die konkrete Verarbeitung zu ermitteln, so dass Art. 83 Abs. 3 DSGVO angewendet werden kann. Es wird bestimmt, welche Verhaltensweise bzw. welcher Datenschutzverstoß dem Bußgeld zugrunde zu legen ist. Festzustellen ist, ob eine oder mehrere Handlungen zu sanktionieren sind. Genauere Anweisungen zum Vorgehen finden sich in Kapitel 3 der Leitlinien.
Danach wird der jeweils anzuwendende Bußgeldrahmen festgelegt. Dies erfolgt mittels einer Einstufung des Verstoßes anhand von Art. 83 Abs. 4 bis 6 DSGVO. Hier ist die Obergrenze für die Bemessung des Bußgeldes zu wählen. Alternativ ist von 10 Mio. Euro oder 2 % des Jahresumsatzes oder von 20 Mio. Euro und 4 % des Jahresumsatzes auszugehen.
Außerdem ist die Art des Verstoßes nach Art. 83 Abs. 2 lit. a), lit. b) sowie lit. g) DSGVO zu berücksichtigen. Insbesondere sind hier Art, Schwere sowie Dauer des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes und die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind, in Betracht zu ziehen.
Zudem dient der Konzernumsatz als Grundlage für ein wirksames, verhältnismäßiges und abschreckendes Bußgeld. Bei kleinen und mittleren Unternehmen wird den Aufsichtsbehörden empfohlen, den Grundbetrag deutlich zu reduzieren. Nähere Angaben enthält Kapitel 4 der Leitlinien.
Im dritten Schritt sind mildernde oder verschärfende Umstände zu bewerten, welche dem gegenwärtigen Verhalten des für die Verarbeitung Verantwortlichen bzw. dem Auftragsverarbeiter zuzurechnen sind. Dementsprechend kann das Bußgeld erhöht oder herabgesetzt werden.
Als mildernd gelten alle Maßnahmen zur Schadensbegrenzung für die betroffenen Personen. Entsprechend sind Maßnahmen, welche vor dem Einschreiten der Behörden ergriffen wurden, höher zu gewichten. Aber auch Maßnahmen nach Kenntnis der Behörden können mildernde Wirkung haben, weil es letztlich auf den Schutz der Betroffenen und der Abstellung des Verstoßes ankommt. Ebenso abmildernd kann die eigenständige Meldung des Vorfalls an die Behörde sein und damit noch vor Bekanntwerden durch entsprechende Beschwerden von Betroffenen.
Wenn der Verantwortliche in der Vergangenheit bereits Datenschutzverstöße begangen hat, ist dies als erschwerender Umstand zu werten. Weitere Details können Kapitel 5 der Leitlinie entnommen werden.
Darauf aufbauend sind die zu beachtenden gesetzlichen Höchstbeträge zu bestimmen. Diese dürfen bei sämtlichen Schritten der Bußgeldbemessung nicht überschritten werden. Einerseits kommen die statischen Grenzen von 10 bzw. 20 Mio. Euro in Betracht. Andererseits kämen die dynamischen Grenzen von 2 % oder 4 % des Jahresumsatzes in Frage. Nach dem Wortlaut des Art. 83 Abs. 4 und Abs. 5 ist der jeweils höhere Betrag als Bemessungsgrundlage heranzuziehen.
Rein rechnerisch kommt die dynamische Grenze ab einem Gesamtjahresumsatz von 500 Mio. Euro zum Tragen. Einzelheiten dazu und zum Unternehmensbegriff (entspricht dem Unternehmensbegriff aus Art. 101 und 102 AEUV) finden sich im Kapitel 6 der Leitlinie.
Im fünften und letzten Schritt ist zu ermitteln, ob das errechnete Bußgeld nach Art. 83 Abs. 1 DSGVO wirksam, verhältnismäßig und abschreckend ist. Die Bemessung kann in diesem Schritt nachjustiert werden. Konkretere Angaben sind in Kapitel 7 der Leitlinie nachzulesen.
Vorläufige Einschätzung der neuen Berechnungsmethode
In der Praxis stimmen sich viele Experten darauf ein, dass die Anwendung der neuen EDSA-Methode zu einer spürbaren Erhöhung der Bußgelder führen wird – gemessen am bisherigen Durchschnittswert. Dabei kommt es allerdings entscheidend darauf an, ob die neue Leitlinie zur Bußgeldbemessung konsequent von den einzelnen Behörden angewendet wird.
So sind große und umsatzstarke Unternehmen von den neuen Vorschriften der EDSA besonders betroffen. Andererseits wird die Vereinheitlichung der Bußgeldbemessung auch in EU-Mitgliedsstaaten, welche bisher gemäßigte Strafzahlungen eingefordert haben, zu einer spürbaren Korrektur der Bußgeldrahmen nach oben führen. Diese Entwicklung wird den Kritikern der restriktiven Handhabung von Bußgeldern durch verschiedenen Behörden oder Gerichten entgegen kommen.
Bußgeldbemessung ist dem Einzelfall anzupassen
Die EDSA gesteht den jeweiligen Behörden dennoch einen Ermessensspielraum, so dass es bei der Bußgeldbemessung stets auf den konkreten Einzelfall ankommt – solang der per Gesetz festgelegte Höchstrahmen nicht überschritten wird. Mit der neuen Leitlinie wird eine Vereinheitlichung der Ausgangslage und der Berechnungsmethode angestrebt. Das Ergebnis soll jedoch stark individualisiert bleiben können. Die Erstellung einer pauschal anzuwendenden Formel ist nicht möglich und kann von der EDSA daher nicht erwartet werden.
Folgen der Verabschiedung des neuen Papiers
Bußgeldkonzept als Vorläufer
Die Datenschutzkonferenz (DSK) hatte als Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden ein eigenes Bußgeld-Konzept erlassen. Die neue Bußgeldrichtlinie der EDSA erinnert an das Konzept der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen („Bußgeldkonzept“) aus dem Jahr 2019. Dieses Konzept betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der DSGVO. Das Bußgeldkonzept ist auch in fünf Schritte eingeteilt. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt. Im dritten Schritt wird ein wirtschaftlicher Grundwert ermittelt. Dieser Grundwert wird dann im vierten Schritt mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert. Der im letzteren Schritt ermittelte Wert wird dann anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst. Auch dieses Verfahren garantiert eine nachvollziehbare, transparente und einzelfallgerechte Bemessung von Bußgeldern. Wie auch nun die neue Methode der Bußgeldbemessung seitens der EDSA, ist auch das Bußgeldkonzept in fünf Schritte gegliedert, um die Höhe der Bußgelder bei Verstößen gegen die DSGVO zu bemessen.
Folgen
Das Bußgeldkonzept wird nun aber von der Bußgeldrichtlinie der EDSA verdrängt. Erwartungsgemäß wird eine Vereinheitlichung der Bußgeldverhängung durch die europäischen Behörden eintreten. Auf diese Weise werden Sachverhalte, welche dem Grunde nach ähnlich zu bewerten wären, nicht unterschiedlich hinsichtlich der Höhe des Bußgeldes bewertet. Betroffene Unternehmen können ebenso durch die Leitlinien in gewisser Weise abschätzen, was im Worst Case auf sie zukommen könnte. Zumindest bieten die Leitlinien eine gewisse Orientierung. Insbesondere für Unternehmen, die grenzüberschreitend tätig sind, tragen die Leitlinien zu einer erhöhter Transparenz bei.
Leitlinien für den Einsatz der Gesichtserkennungstechnologie
Durch moderne und neue Technologien werden zwar enorme Vorteile für die Strafverfolgung geschaffen, wie insbesondere eine rasche Identifizierung von Verdächtigen schwerer Straftaten. Doch müssen diese Technologien bei ihrem Einsatz den Anforderungen der Notwendigkeit und Verhältnismäßigkeit genüge tragen. Dadurch, dass vor allem die Gesichtserkennungstechnologie mit der Verarbeitung personenbezogener Daten, einschließlich biometrischer Daten verbunden ist, birgt dies ernsthafte Risiken für die Rechte und Freiheiten des Einzelnen.
Die Instrumente der Gesichtserkennung sollen jedoch nur in Übereinstimmung mit der Strafverfolgungsrichtlinie (LED) eingesetzt werden und soweit sie notwendig und verhältnismäßig sind. Insbesondere gelten in bestimmten Fällen Verbote des Einsatzes von Gesichtserkennungstechnologien, wie beispielsweise die biometrische Fernidentifizierung von Personen im öffentlichen Raum oder Gesichtserkennungssysteme, die Personen auf der Grundlage ihrer biometrischen Daten in Gruppen nach ethnischer Zugehörigkeit, Geschlecht, politischer oder sexueller Orientierung oder anderen Diskriminierungsgründen einteilen. Denn solche würden eine erhebliche Beeinträchtigung von Grundrechten und Grundfreiheiten Einzelner bedeuten.
Ausblick
Als Geschäftsführer von Unternehmen sollten Sie bezüglich der neuen Sachlage informiert und sensibilisiert sein. Denn die im Raum stehenden – unter Umständen deutlich erhöhten – Bußgelder können Sie und Ihr Unternehmen empfindlich treffen. Insofern ist die Kenntnis der neuen EDSA-Bußgeldrichtline für eine richtige Risikobewertung essenziell. Es bleibt abzuwarten, ob die Richtlinie noch angepasst wird oder unverändert bleibt. Momentan haben Unternehmen oder Interessierte die Möglichkeit, Anmerkungen sowohl hinsichtlich der Richtlinie zu den Bußgeldern als auch zu der Richtlinie zum Einsatz der Gesichtserkennungstechnologie einzureichen.
Schützen Sie sich und Ihr Unternehmen, indem Sie stets die Weiterentwicklung des bestehenden Datenschutzmanagements vorantreiben und immer auf dem neuesten Stand bleiben. Für die erfolgreiche Umsetzung helfen wir Ihnen stets mit konkreten Handlungsempfehlungen.
