EU-Bußgeldkonzept für Datenschutzverstöße
Der europäische Datenschutzausschuss (EDSA) hat Mitte Mai eine Richtlinie zur einheitlichen Verhängung von Bußgeldern der Datenschutzaufsichtsbehörden verabschiedet. Hierdurch soll erreicht werden, dass die Höhe eines Bußgeldes in ähnlicher Weise von allen Aufsichtsbehörden berechnet werden.
Neben der Relevanz für die Aufsichtsbehörden ist dies aus unterschiedlichen Gesichtspunkten auch für Unternehmen und Einrichtungen interessant:
- Bußgelder, die in anderen EU-Ländern verhängt werden, können besser für Risikobewertungen übertragen werden, da ähnliche Verstöße zu ähnlichen Bußgeldern führen sollten.
- Unternehmerische Risiken können besser abgeschätzt werden und besser monetär bewertet werden, um die Relevanz einzelner Datenschutzanforderungen zu verdeutlichen.
- In laufenden Bußgeldverfahren können Risiken zur Ermittlung erforderlicher Rückstellungen besser ermittelt werden.
- Das Bußgeld Konzept gibt Einblicke wie und welche Verstöße als Schwerwiegend oder als gering angesehen werden.
Grund für uns, diese etwas genau zu betrachten. Aktuell besteht die Richtlinie nur in englischer Sprache. Zur einfacheren Handhabung haben wir die Richtlinie übersetzt und wollen diese ebenfalls hier mit zur Verfügung stellen.
Vorgehen zur Bußgeldbemessung
Der EDSA unterteilt das Bußgeldbemessungsverfahren in 5 Schritte:
Schritt 1 | Identifizierung der betroffenen Verarbeitungen und Prüfung, ob es sich um gleiche oder miteinander verbundenen Verarbeitungsvorgängen handelt. (Kapitel 3) |
---|---|
Schritt 2 | Ermittlung des Ausgangsbetrags für die weitere Berechnung auf der Grundlage einer Bewertung von Art, Umfang und Schwere des Verstoßes unter Berücksichtigung des Unternehmensumsatzes. (Kapitel 4) |
Schritt 3 | Bewertung von erschwerenden und mildernden Umständen im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Bußgeldempfängers. (Kapitel 5) |
Schritt 4 | Abgleich der ermittelten Bußgelder mit den gesetzlichen Grenzwerten. (Kapitel 6) |
Schritt 5 | Analyse, ob der endgültige Betrag der berechneten Geldbuße den Anforderungen der Wirksamkeit, Abschreckung und Verhältnismäßigkeit entspricht und entsprechende Erhöhung oder Herabsetzung der Geldbuße. (Kapitel 7) |
Schritt 1
Datenschutzverletzungen können in jeder Phase einer Datenverarbeitung auftreten. Die Datenschutzgesetze machen vom erstmaligen Erhalten oder dem Abfragen von Daten, dem Speichern bis zum endgültigen Löschen unterschiedliche Vorgaben. Jedoch können Verstöße in vorangegangenen Phasen einer Datenverarbeitung dazu führen, dass die Datenverarbeitungen in den anderen Phasen ebenso unzulässig sind.
Beispielsweise kann eine nicht vorhandene oder fehlerhafte Einwilligung bei der Erhebung von Daten dazu führen, dass nicht nur die Erhebung, sondern auch die Speicherung der Daten unzulässig ist.
Nach dem Willen des Gesetzgebers aus Art. 83 Abs. 3 DSGVO, soll dies jedoch nicht dazu führen, dass die Verstöße jeweils einzelnen, sondern in der Gesamtheit der Verarbeitung betrachtet werden. Bußgelder sollen für die Gesamtheit einer Verarbeitung verhängt werden. Daher soll genau identifiziert werden, wie und ob diese Verstöße zusammenhängen.
Wichtig hierbei ist, dass das Konzept auch klarstellt, das unterschiedliche Verstöße, welche nicht zusammenhängen, zu mehreren, unterschiedlichen Bußgeldern führen sollten und dies nicht miteinander zu verknüpfen ist. Für diese unterschiedlichen Verstöße gilt auch keine gemeinsame Höchstgrenze. Die gesetzlichen Höchstgrenzen werden in dem Fall nur pro Verstoß berücksichtigt. Deutlich wird dies an einem in der Richtlinie gemachten Beispiel: Wenn bei einer Vor-Ort-Prüfung der Aufsichtsbehörde auffällt, dass bspw. keine ausreichenden Schutzmaßnahmen für die Website getroffen wurden, Mitarbeiter im Unternehmen nicht über die Datenverarbeitungen informiert wurden und Datenschutzverletzung in Bezug auf die Kundendaten nicht gemeldet wurden, sind diese 3 Verstöße separat zu betrachten und zu bewerten, auch wenn diese in ein und derselben Kontrolle festgestellt wurden.
Schritt 2
Im Gegensatz zum Bußgeldkonzept der Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden, welches konkrete Berechnungsmethoden und Tabellen zur Verfügung stellt, bleibt das Konzept des EDSA grundsätzlich schwammig. Nur in Schritt 2 werden konkrete Zahlen definiert.
In Schritt 2 sollen die Aufsichtsbehörden die Schwere der Datenschutzverletzung ermitteln und diese in gering, mittel und hoch einstufen. Bei der Einstufung soll berücksichtigt werden:
- Art der Zuwiderhandlung (Verstoß einstufen in Art. 83 Abs. 4 bis 6 DSGVO)
- Art und Kontext der Verarbeitung (Was wird mit den Daten gemacht, durch wen, mit welchem Hintergrund also bspw. Geschäftstätigkeit, gemeinnützige Organisation, politische Partei)
- Umfang der Verarbeitung (lokale, nationale oder grenzüberschreitende Verarbeitung; eingesetzte Ressourcen etc.)
- Zweck der Verarbeitung (Was soll mit der Verarbeitung erreicht werden; ist es eine Kern- oder Nebentätigkeit)
- Anzahl der betroffenen Personen
- Die Höhe des erlittenen Schadens für die betroffenen Personen
- Die Dauer des Verstoßes (kurzzeitig von wenigen Minuten/Stunden oder ggf. über mehrere Jahre)
- Vorsatz oder Fahrlässigkeit, die zu dem Verstoß geführt haben
- Kategorien von betroffenen personenbezogenen Daten (insbesondere ob es sich um besondere Kategorien nach Art. 9 und 10 DSGVO handelt)
Beispiele aus dem Bußgeldkonzept:
Als Hoch wird bspw. ein Verstoß einer Telefongesellschaft angesehen, welche ohne Rechtsgrundlage und entgegen den Empfehlungen des Datenschutzbeauftragten Kundendaten von 4 Millionen Kunden für Telemarketingzwecke verwendet, diese an Dritte verkauft und es dadurch zu unzulässigen Telefonanrufen bei den Kunden kommt und Kunden auch keine Möglichkeit zum Widerspruch haben.
Als mittlerer Verstoß wird bspw. eine Verletzung der Vertraulichkeit von Patientendaten aufgrund eines fehlerhaften Rechtemanagements in einem Krankenhaus angesehen. Wenn dieses den Verstoß selbst gemeldet hat, das Problem selbst untersucht wurde und (laut Beispiel) 150 Mitarbeiter von 3.500 falsche Rechte hatten, wobei 16 davon diese ausgenutzt haben. Zudem wird in dem Beispiel darauf Wert gelegt, dass das Krankenhaus ein Rechtemanagement im Einsatz hat, welche ständig verbessert wird und die Mitarbeiter auf den Datenschutz sensibilisiert wurden.
Als geringer Verstoß wird bspw. angesehen, dass Beschwerden bei der Aufsichtsbehörde eingehen, dass ein Unternehmen nicht/nicht rechtzeitig die Auskunftsrechte von Betroffenen erfüllt und eine Überprüfung feststellt, dass bei 1.000 Auskunftsersuchen pro Jahr 950 fristgerecht erfüllt wurden und 5% maximal 3 Monate zu spät beantworte worden.
Ermittlung des Ausgangsbetrags
Wurde die Einstufung vorgenommen, soll der Ausgangsbetrag durch die Aufsichtsbehörde festgesetzt werden. Für diese Festsetzung bestehen weiterhin keine konkreten Werte oder Ermittlungsmethoden. Jedoch wird festgelegt, dass der Ausgangsbetrag bei:
- geringen Verstößen zwischen 0 bis 10% des gesetzlichen Höchstbetrages liegen soll
- mittleren Verstößen zwischen 10 bis 20% des gesetzlichen Höchstbetrages liegen soll
- schweren Verstößen zwischen 20 und 100% des gesetzlichen Höchstbetrages liegen soll
Verstoß | gegen Art. 83 Abs. 4 DSGVO | gegen Art. 83 Abs. 5 DSGVO | gegen Art. 83 Abs. 6 DSGVO |
---|---|---|---|
Gering | 0 bis 1 Mio. € oder 0 bis 0,2% des Vorjahresumsatzes |
0 bis 2 Mio. € oder 0 bis 0,4% des Vorjahresumsatzes |
0 bis 2 Mio. € oder 0 bis 0,4% des Vorjahresumsatzes |
Mittel | 1 bis 2 Mio. € oder 0,2% bis 0,4% des Vorjahresumsatzes |
2 bis 4 Mio. € oder 0,4% bis 0,8% des Vorjahresumsatzes |
2 bis 4 Mio. € oder 0,4% bis 0,8% des Vorjahresumsatzes |
Hoch | 2 bis 10 Mio. € oder 0,4% bis 2% des Vorjahresumsatzes |
4 bis 20 Mio. € oder 0,8% bis 4% des Vorjahresumsatzes |
4 bis 20 Mio. € oder 0,8% bis 4% des Vorjahresumsatzes |
Berücksichtigung der wirtschaftlichen Möglichkeiten eines Unternehmens
Unternehmen sind nicht gleich Unternehmen, insbesondere für klein- und mittelständige Unternehmen können die Bemessungen unter Berücksichtigung der Höchstgrenzen weitreichende Auswirkungen haben. Daher sieht das Konzept vor, das je nach Umsatzgröße eines Unternehmens der Ausgangsbetrag angepasst werden kann:
- Bei Unternehmen mit einem Jahresumsatz von ≤ 2 Mio. Euro kann eine Reduzierung auf bis zu 0,2% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von ≤ 10 Mio. Euro kann eine Reduzierung auf bis zu 0,4% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von ≤ 50 Mio. Euro kann eine Reduzierung auf bis zu 2% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von ≤ 100 Mio. Euro kann eine Reduzierung auf bis zu 10% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von ≤ 250 Mio. Euro kann eine Reduzierung auf bis zu 20% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von > 250 Mio. Euro kann eine Reduzierung auf bis zu 50% des Ausgangsbetrags erfolgen.
Schritt 3
Im nächsten Schritt sollen dem festgelegten Ausgangsbetrag erschwerende oder mildernde Umstände hinzugerechnet werden. Auch hierbei werden keine konkreten Werte benannt, wie sich diese auf den Ausgangsbetrag auswirken soll.
Unter anderem sollen folgende Punkte berücksichtigt werden:
- Grad der Verantwortung des Bußgeldempfängers
- Frühere Verstöße des Bußgeldempfängers und dessen zeitlicher Abstand, sowie der Zusammenhang der Verstöße
- Grad der Zusammenarbeit mit der Aufsichtsbehörde
- Wie der Verstoß der Aufsichtsbehörde bekannt wurde
- Befolgung bereits angeordneter Maßnahmen
- Einhaltung von genehmigten Verhaltenskodizes und Zertifizierungen
Schritt 4
Auch wenn erschwerende Kriterien das Bußgeld erhöht haben, darf der gesetzliche Höchstbetrag nicht überschritten werden. Dies soll noch einmal im Schritt 4 geprüft werden.
Schritt 5
Bußgelder sollen wirksam, verhältnismäßig und abschreckend sein. Dabei sollen die Aufsichtsbehörden noch einmal prüfen, ob das Bußgeld geeignet ist, dass der Bußgeldempfänger sein Verhalten ändern wird und dass er dies zukünftig nicht wiederholt. Auch sollen andere abgeschreckt werden, ein ähnliches Verhalten zu zeigen.
Auch wenn es nur bei „außergewöhnlichen Umständen“ zum Tragen kommen soll, wird bei der Verhältnismäßigkeit auch die Zahlungsfähigkeit des Unternehmens berücksichtigt. Hierbei sollen die Aufsichtsbehörden die wirtschaftliche Lebensfähigkeit, der Nachweis des Wertverlustes und spezifische, soziale und wirtschaftliche Kontexte berücksichtigen. Ergeben sich hierbei Kriterien, die die Zahlungsfähigkeit des Unternehmens außergewöhnlichen beeinträchtigen, kann die Aufsichtsbehörden ebenfalls das Bußgeld reduzieren.
Autor: Michael Konitzer
Bildquelle: TarikVision / shutterstock.com