27.05.2022Fachbeitrag

Update Datenschutz Nr. 112 und Update Compliance 13/2022

Datenschutzverstöße und ihr Preis – Neue Leitlinien zur Berechnung von Bußgeldern nach der DSGVO in Europa

Vor wenigen Tagen hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien vorgelegt, die sich mit der Methodik der Berechnung von Geldbußen wegen Datenschutzverstößen befassen. Vorgesehen ist ein Fünfstufenplan, mithilfe dessen alle europäischen Datenschutzbehörden die durch sie verhängten Bußgelder – einheitlich – bemessen und beziffern können sollen. Auf Grundlage dieser Leitlinien sollen die unterschiedlich intensiven Aktivitäten der nationalen Datenschutzbehörden der Mitgliedstaaten vereinheitlicht und transparenter gestaltet werden.

Der EDSA hatte bereits im Jahr 2018 Leitlinien veröffentlicht, die die Voraussetzungen aufzeigen, unter denen die Datenschutzbehörden eine Geldbuße aufgrund eines Datenschutzverstoßes verhängen sollen. Die neuen Leitlinien ergänzen diese nunmehr.   Ziel der Leitlinien: Europaweite Harmonisierung von Bußgeldern wegen Datenschutzverstößen.

Mithilfe der Leitlinien soll das seit Inkrafttreten der europäischen Datenschutz-Grundverordnung vor rund vier Jahren bestehende Problem des europaweit uneinheitlichen Umgangs mit Datenschutzverstößen gelöst werden: Die nationalen Datenschutzbehörden sind nicht nur sehr unterschiedlich aktiv, sondern schöpfen den in der DSGVO bestehenden Bußgeldrahmen unterschiedlich aus. So divergieren die Höhen der verhängten Bußgelder europaweit erheblich. 

Die nationalen Aufsichtsbehörden sollen die von dem EDSA in den Leitlinien etablierte Methodik ihrer Bußgeldberechnung bei Verstößen gegen die DSGVO zugrunde legen. Auf diese Weise soll eine europaweite Harmonisierung der entsprechenden Geldbußen wegen Datenschutzverstößen erreicht werden. 

Ansatz des EDSA: Einheitliche Methodik zur Festlegung der Bußgelder  

Die Leitlinien sehen fünf Stufen zur Ermittlung der Bußgeldhöhe im Einzelfall durch die zuständigen Behörden vor:

  1. Identifizierung der (Anzahl der) tatsächlichen Datenverarbeitung(en) und rechtliche Bewertung der (Anzahl der) Verstöße anhand von Art. 83 Abs. 3 DSGVO;
  2. Festlegung der Ausgangshöhe der Geldbuße (Art. 83 Abs. 4 bis Abs. 6 DSGVO) und Einstufung der Schwere des Verstoßes unter Berücksichtigung des Umsatzes des Unternehmens;
  3. Bewertung von mildernden oder erschwerenden Einzelfallumständen betreffend den für die Datenverarbeitung Verantwortlichen/Auftragsverarbeiter und entsprechende Erhöhung oder Herabsetzung der Höhe der Geldbuße;
  4. Ermittlung der relevanten Geldbußen-Höchstbeträge für den oder die in Rede stehenden Verstoß/Verstöße, die nicht überschritten werden dürfen;
  5. Prüfung, ob die berechnete Gesamtgeldbuße wirksam, abschreckend und verhältnismäßig i.S.d. Art. 83 Abs. 1 DSGVO ist, und gegebenenfalls entsprechende Anpassung der ermittelten Höhe der Geldbuße.

Der EDSA betont dabei, dass stets eine Bewertung sämtlicher Umstände im konkreten Einzelfall durch die Aufsichtsbehörden erforderlich ist. Die Aufsichtsbehörden müssen ihre Bußgeldentscheidung sorgfältig und unter Heranziehung sämtlicher maßgeblicher Faktoren (siehe Art. 83 Abs. 2 DSGVO) begründen.

Bemessung der Ausgangshöhe von Bußgeldern

Ein wesentlicher Punkt in den Leitlinien betrifft die Festlegung der Ausgangshöhe für die Zumessung des Bußgeldes in Form eines Grundbetrags („starting point“).

Dieser bestimmt sich nach drei Faktoren: der Einordnung der Tat anhand der verletzten Norm, der Schwere der konkreten Tat sowie anhand des Unternehmensumsatzes. Auf dieser Basis sehen die Leitlinien zunächst – je nach Schweregrad – drei unterschiedliche Referenzrahmen vor. So soll der Grundbetrag bei leichten Verstößen zwischen 0% und 10% und bei mittleren Verstößen zwischen 10% und 20% des Maximalbetrags liegen. Bei schweren Verstößen kommt ein Grundbetrag von 20% bis 100% des Maximalrahmens in Betracht. 

Abhängig von dem Umsatz des Unternehmens und der Schwere der Verletzung ist sodann eine weitere Anpassung des Grundbetrags durch die Aufsichtsbehörden möglich. Die Leitlinien enthalten hierzu Umsatzschwellen, bei denen jeweils eine prozentuale Anpassung des Grundbetrags von den Aufsichtsbehörden in Erwägung gezogen werden kann. Besonders auffällig ist dabei, dass (auch wenn der Grundbetrag bei diesen prozentual betrachtet stärker herabgesetzt werden kann) umsatzstarken Unternehmen dennoch für leichte Verstöße vergleichsweise mit hohen Bußgeldern belegt werden können. Dies wird deutlich an dem in den Leitlinien dargestellten Beispiel 6a (siehe S. 23 f. der Leitlinien), wonach der EDSA ausgehend von einem jährlichen Unternehmensumsatz von 8 Mrd. EUR selbst bei einem leichten Verstoß und einem Abschlag von 50% einen Grundbetrag von 25. Mio EUR als Startpunkt für die Bemessung des Bußgelds für angemessen hält. Insbesondere bei umsatzstarken und großen Unternehmen dürften die Vorgaben des EDSA somit zu verhältnismäßig höheren Geldbußen führen. 

Zwar weist der EDSA explizit daraufhin, dass Bußgelder stets auch verhältnismäßig sein müssen, sodass insbesondere die wirtschaftliche Situation eines Unternehmens sowie eine mögliche Zahlungsunfähigkeit infolge eines Bußgeldes im Rahmen der Gesamtabwägung zu berücksichtigen sind. Gleichzeitig stellt der EDSA aber auch klar, dass der bloße Umstand, dass sich ein Unternehmen in einer schlechten finanziellen Situation befindet oder durch die Geldbuße in eine solche versetzt wird, nicht per se ausreicht, um die Höhe eines Bußgeldes zu reduzieren oder ein solches insgesamt abzuwenden. Vielmehr müssen die betroffenen Unternehmen nach Ansicht des EDSA die negativen Risiken konkret darlegen (z.B. durch Vorlage von Finanzdaten, Plänen zur Restrukturierung, Absprachen mit Banken), damit diese bei der Bußgeldmessung Berücksichtigung finden können. 

Vor diesem Hintergrund bleibt es abzuwarten, ob das Modell des EDSA zur Bemessung des Grundbetrags auch vor den Gerichten Bestand haben wird. 

Unmittelbare Unternehmenshaftung ohne persönliches Verschulden der Unternehmensleitung

Ein weiterer wesentlicher Punkt der Leitlinien betrifft die direkte Haftung von Unternehmen für DSGVO-Verstöße. Nach Ansicht des EDSA kommt es für eine Unternehmensgeldbuße nicht auf ein zurechenbares Verhalten von einzelnen natürlichen Personen, wie etwa Mitgliedern der Geschäftsführung, an. Der EDSA geht in seinen Leitlinien von einer unmittelbaren und autonomen Unternehmenshaftung ("direct corprate liability") aus. Entsprechend seien nationale Vorschriften in den Mitgliedstaaten, die eine direkte Unternehmenshaftung widersprächen, unzulässig. 

Dieser Punkt ist gerade für Bußgeldverfahren in Deutschland von großer Relevanz, da das deutsche Ordnungswidrigkeitengesetz (OWiG) explizit eine Haftung von Unternehmen nur bei einem zurechenbaren persönlichen Verschulden der Unternehmensleitung versieht (§§ 30, 130 OWiG). Die deutschen Aufsichtsbehörden halten diese Regelungen – genau wie nun auch der EDSA – im Zusammenhang mit Bußgeldern nach der DSGVO für unanwendbar. 

Demgegenüber hat sich in der deutschen Rechtsprechung bislang keine einheitliche Spruchpraxis etabliert. Während etwa das LG Bonn (Urteil vom 11.11.2020 – 29 OWi 1/20) die vorgenannten Vorschriften des OWiG für unanwendbar hielt, kam das LG Berlin (Beschluss vom 18.2.2021 – 526 OWi LG 212 Js-OWi 1/20) zu dem Ergebnis, dass die Vorschriften des OWiG uneingeschränkt anwendbar seien und stellte das Bußgeldverfahren gegen das betroffene Unternehmen mangels hinreichenden Feststellungen der Aufsichtsbehörden zu dem konkret zurechenbaren und schuldhaften Verhalten natürlicher Personen ein.

Letztlich wird es somit zur endgültigen Klärung dieser Frage der unmittelbaren Unternehmenshaftung auf eine Entscheidung des EuGH ankommen. Eine solche wird aufgrund der Vorlage des KG Berlin vom 6. Dezember 2021 (Az. 3 Ws 250/21) zeitnah erwartet. Sollte der EuGH der Ansicht des EDSA und der deutschen Aufsichtsbehörden folgen, wird ein in der deutschen Praxis bislang sehr wertvolles Argument zur Verteidigung (keine unmittelbare Unternehmenshaftung) wegfallen.

Fazit 

Die neuen Leitlinien des EDSA befinden sich zwar noch in der Konsultationsphase, sodass nicht auszuschließen ist, dass der EDSA noch Änderungen an den Leitlinien vornehmen wird. Erfahrungsgemäß ist insoweit allerdings nicht mit grundlegenden Anpassungen zu rechnen. Wenn dieser Prozess abgeschlossen ist, wird sich gerade mit Blick auf die Praxis der deutschen Aufsichtsbehörden die spannende Frage stellen, inwieweit diese ihr eigens entwickeltes detailliertes Bußgeldkonzept an die Vorgaben der Leitlinien anpassen oder gegebenenfalls sogar ganz aufgeben werden. In jedem Fall sind die europäischen Leitlinien durch die deutschen Aufsichtsbehörden im Rahmen der Auslegung der Bußgeldvorschriften zu berücksichtigen. 

Inhaltlich enthalten die Leitlinien aus Unternehmenssicht wertvolle Hinweise für die Praxis. So bieten die Leitlinien einen verlässlichen Anknüpfungspunkt, um zu ermitteln, welches Bußgeld potentiell auf ein Unternehmen zukommen kann. Denn auch wenn die endgültige Höhe des Bußgelds weiterhin im Ermessen der jeweiligen Aufsichtsbehörde steht und stets eine umfassende Abwägung der maßgeblichen Faktoren im Einzelfall erforderlich ist, ist auf Basis der Leitlinien zumindest eine Einschätzung des potentiellen Grundbetrags möglich. Auf dieser Grundlage lassen sich wiederum Risiken besser bewerten und Strategien zur Vermeidung und Verteidigung entwickeln. Dies dürfte gerade für umsatzstarke Unternehmen von großer Relevanz sein, da diese für leichte Verstöße vergleichsweise mit hohen Bußgeldern belegt werden können. 

Auch die Hinweise zur direkten Unternehmenshaftung zeigen – vorbehaltlich der erwarteten Entscheidung des EuGH – der Praxis vorerst die weitere Richrung auf. Eine endgültige Klärung der vielfach kritisierten unmittelbaren Unternehmenshaftung dürfte indes erst mit der erwarteten Entscheidung des EuGH zu erwarten sein. Bis dahin sollten betroffene Unternehmen weiterhin sämtliche Argumente zur Verteidigung gegen eine Bußgeldentscheidung sorgfältig prüfen.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.