EU-Bußgeldkonzept für Datenschutzverstöße
Aktualisierung vom 24.05.2023
Der europäische Datenschutzausschutz (EDSA) hat nun die Richtlinie zur Besserung von Bußgeldern nach der vorherigen Konsultation aktualisiert und verabschiedet. In diesem Abschnitt möchten wir auf wichtige eingeflossene Änderungen eingehen:
1. Kein Minimum-Bußgeld in der Einzelfallbetrachtung
Die Richtlinie fordert die Aufsichtsbehörden auf, einzelfallbezogene Entscheidungen zu treffen. Dabei soll die Richtlinie das Verhängen von Bußgeldern harmonieren und vergleichbare Bußgelder ermöglichen. Bezeichnend hierbei ist, dass in Randnummer 47 dabei nicht mehr davon gesprochen wird, dass die Aufsichtsbehörden Entscheidungsspielraum zwischen einem „minimalen Betrag“ für eine Geldbuße und einem maximalen Betrag haben, sondern von einem „beliebigen Betrag“ und einem maximalen Betrag. Dies eröffnet den Aufsichtsbehörden auch die Möglichkeit, auf Bußgelder zu verzichten, und verpflichtet sie nicht, einen Mindestbetrag vorzusehen.
2. Indirekte Identifizierbarkeit bei Bewertung der Schwere eines Verstoßes
Zur Bemessung eines Bußgeldes müssen die Aufsichtsbehörden die schwer eines Verstoßes bewerten. Neu eingefügt wurde in der Richtlinie, dass hierbei auch berücksichtigt werden kann, ob es sich bei den verarbeiteten Daten um Daten handelt, die eine Personen direkt identifizieren (bspw. Name, Telefonnummern etc.) oder ob es sich um Daten handelt, die eine Person indirekt identifiziere, also Daten, zu denen bspw. weiter Daten erforderlich sind, um eine natürliche Person zu ermitteln (bspw. IP-Adressen, Fahrzeug-Identifikationsnummern etc.)
3. Anpassung der Grenzwerte zur Berücksichtigung der wirtschaftlichen Möglichkeit eines Unternehmens.
Wie in Schritt 2 unten beschrieben, können die Aufsichtsbehörden bei der Ermittlung der Bußgelder die Anfangswerte für ihre Brechungen an die wirtschaftlichen Möglichkeiten eines Unternehmens anpassen. In der neuen Version der Richtlinie wurden diese Grenzwerte angepasst und angehoben.
Neue Werte:
- Bei Unternehmen mit einem Jahresumsatz von ≤ 2 Mio. Euro kann eine Reduzierung zwischen 0,2% und 0,4% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von 2 bis 10 Mio. Euro kann eine Reduzierung zwischen 0,3% bis 2% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von 10 bis 50 Mio. Euro kann eine Reduzierung zwischen 1,5% bis 10% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von 50 bis 100 Mio. Euro kann eine Reduzierung zwischen 8% bis 20% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von 100 bis 250 Mio. Euro kann eine Reduzierung zwischen 15 bis 50% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von 250 bis 500 Mio. Euro kann eine Reduzierung zwischen 40 bis 100% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von > 500 Mio. EUR können die Aufsichtsbehörden erwägen, ohne eine Anpassung des ermittelten Ausgangsbetrags vorzugehen.
4. Ermittlung des Nett-Umsatzes
Festgelegte ist, dass der Umsatz eines Unternehmens aus der GuV (soweit vorhanden) entnommen wird. In der ersten Version wurden dabei Einnahmen definiert, die nicht in die Umsatzermittlung einbezogen werden sollten (z.B. Erlöse aus dem Verkauf von Anlagevermögen, Vermietung von ungenutzten Gebäudeteilen, Versicherungsprämien, Provisionen und Zinserträge im Falle eines Industrieunternehmens). Das Herausrechnen dieser Erlöse aus dem Umsatz wurde nun gestrichen.
Alter Artikel
Der europäische Datenschutzausschuss (EDSA) hat Mitte Mai eine Richtlinie zur einheitlichen Verhängung von Bußgeldern der Datenschutzaufsichtsbehörden verabschiedet. Hierdurch soll erreicht werden, dass die Höhe eines Bußgeldes in ähnlicher Weise von allen Aufsichtsbehörden berechnet werden.
Neben der Relevanz für die Aufsichtsbehörden ist dies aus unterschiedlichen Gesichtspunkten auch für Unternehmen und Einrichtungen interessant:
- Bußgelder, die in anderen EU-Ländern verhängt werden, können besser für Risikobewertungen übertragen werden, da ähnliche Verstöße zu ähnlichen Bußgeldern führen sollten.
- Unternehmerische Risiken können besser abgeschätzt werden und besser monetär bewertet werden, um die Relevanz einzelner Datenschutzanforderungen zu verdeutlichen.
- In laufenden Bußgeldverfahren können Risiken zur Ermittlung erforderlicher Rückstellungen besser ermittelt werden.
- Das Bußgeldkonzept gibt Einblicke, wie und welche Verstöße als schwerwiegend oder als gering angesehen werden.
Grund für uns, diese etwas genauer zu betrachten. Aktuell besteht die Richtlinie nur in englischer Sprache. Zur einfacheren Handhabung haben wir die Richtlinie übersetzt und wollen diese ebenfalls hier mit zur Verfügung stellen.
Vorgehen zur Bußgeldbemessung
Der EDSA unterteilt das Bußgeldbemessungsverfahren in 5 Schritte:
| Schritt 1 | Identifizierung der betroffenen Verarbeitungen und Prüfung, ob es sich um gleiche oder miteinander verbundene Verarbeitungsvorgänge handelt. (Kapitel 3) |
|---|---|
| Schritt 2 | Ermittlung des Ausgangsbetrags für die weitere Berechnung auf der Grundlage einer Bewertung von Art, Umfang und Schwere des Verstoßes unter Berücksichtigung des Unternehmensumsatzes. (Kapitel 4) |
| Schritt 3 | Bewertung von erschwerenden und mildernden Umständen im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Bußgeldempfängers. (Kapitel 5) |
| Schritt 4 | Abgleich der ermittelten Bußgelder mit den gesetzlichen Grenzwerten. (Kapitel 6) |
| Schritt 5 | Analyse, ob der endgültige Betrag der berechneten Geldbuße den Anforderungen der Wirksamkeit, Abschreckung und Verhältnismäßigkeit entspricht und entsprechende Erhöhung oder Herabsetzung der Geldbuße. (Kapitel 7) |
Schritt 1
Datenschutzverletzungen können in jeder Phase einer Datenverarbeitung auftreten. Die Datenschutzgesetze machen vom erstmaligen Erhalten oder dem Abfragen von Daten, dem Speichern bis zum endgültigen Löschen unterschiedliche Vorgaben. Jedoch können Verstöße in vorangegangenen Phasen einer Datenverarbeitung dazu führen, dass die Datenverarbeitungen in den anderen Phasen ebenso unzulässig sind.
Beispielsweise kann eine nicht vorhandene oder fehlerhafte Einwilligung bei der Erhebung von Daten dazu führen, dass nicht nur die Erhebung, sondern auch die Speicherung der Daten unzulässig ist.
Nach dem Willen des Gesetzgebers aus Art. 83 Abs. 3 DSGVO, soll dies jedoch nicht dazu führen, dass die Verstöße jeweils einzeln, sondern in der Gesamtheit der Verarbeitung betrachtet werden. Bußgelder sollen für die Gesamtheit einer Verarbeitung verhängt werden. Daher soll genau identifiziert werden, wie und ob diese Verstöße zusammenhängen.
Wichtig hierbei ist, dass das Konzept auch klarstellt, dass unterschiedliche Verstöße, welche nicht zusammenhängen, zu mehreren, unterschiedlichen Bußgeldern führen sollten und dies nicht miteinander zu verknüpfen ist. Für diese unterschiedlichen Verstöße gilt auch keine gemeinsame Höchstgrenze. Die gesetzlichen Höchstgrenzen werden in dem Fall nur pro Verstoß berücksichtigt. Deutlich wird dies an einem in der Richtlinie gemachten Beispiel: Wenn bei einer Vor-Ort-Prüfung der Aufsichtsbehörde auffällt, dass bspw. keine ausreichenden Schutzmaßnahmen für die Website getroffen wurden, Mitarbeiter im Unternehmen nicht über die Datenverarbeitungen informiert wurden und Datenschutzverletzungen in Bezug auf die Kundendaten nicht gemeldet wurden, sind diese 3 Verstöße separat zu betrachten und zu bewerten, auch wenn diese in ein und derselben Kontrolle festgestellt wurden.
Schritt 2
Im Gegensatz zum Bußgeldkonzept der Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden, welches konkrete Berechnungsmethoden und Tabellen zur Verfügung stellt, bleibt das Konzept des EDSA grundsätzlich schwammig. Nur in Schritt 2 werden konkrete Zahlen definiert.
In Schritt 2 sollen die Aufsichtsbehörden die Schwere der Datenschutzverletzung ermitteln und diese in gering, mittel und hoch einstufen. Bei der Einstufung soll berücksichtigt werden:
- Art der Zuwiderhandlung (Verstoß einstufen in Art. 83 Abs. 4 bis 6 DSGVO)
- Art und Kontext der Verarbeitung (Was wird mit den Daten gemacht, durch wen, mit welchem Hintergrund also bspw. Geschäftstätigkeit, gemeinnützige Organisation, politische Partei)
- Umfang der Verarbeitung (lokale, nationale oder grenzüberschreitende Verarbeitung; eingesetzte Ressourcen etc.)
- Zweck der Verarbeitung (Was soll mit der Verarbeitung erreicht werden; ist es eine Kern- oder Nebentätigkeit)
- Anzahl der betroffenen Personen
- Die Höhe des erlittenen Schadens für die betroffenen Personen
- Die Dauer des Verstoßes (kurzzeitig von wenigen Minuten/Stunden oder ggf. über mehrere Jahre)
- Vorsatz oder Fahrlässigkeit, die zu dem Verstoß geführt haben
- Kategorien von betroffenen personenbezogenen Daten (insbesondere ob es sich um besondere Kategorien nach Art. 9 und 10 DSGVO handelt)
Beispiele aus dem Bußgeldkonzept:
Als Hoch wird bspw. ein Verstoß einer Telefongesellschaft angesehen, welche ohne Rechtsgrundlage und entgegen den Empfehlungen des Datenschutzbeauftragten Kundendaten von 4 Millionen Kunden für Telemarketingzwecke verwendet, diese an Dritte verkauft und es dadurch zu unzulässigen Telefonanrufen bei den Kunden kommt und Kunden auch keine Möglichkeit zum Widerspruch haben.
Als mittlerer Verstoß wird bspw. eine Verletzung der Vertraulichkeit von Patientendaten aufgrund eines fehlerhaften Rechtemanagements in einem Krankenhaus angesehen. Wenn dieses den Verstoß selbst gemeldet hat, das Problem selbst untersucht wurde und (laut Beispiel) 150 Mitarbeiter von 3.500 falsche Rechte hatten, wobei 16 davon diese ausgenutzt haben. Zudem wird in dem Beispiel darauf Wert gelegt, dass das Krankenhaus ein Rechtemanagement im Einsatz hat, welches ständig verbessert wird und die Mitarbeiter auf den Datenschutz sensibilisiert wurden.
Als geringer Verstoß wird bspw. angesehen, dass Beschwerden bei der Aufsichtsbehörde eingehen, dass ein Unternehmen nicht/nicht rechtzeitig die Auskunftsrechte von Betroffenen erfüllt und eine Überprüfung feststellt, dass bei 1.000 Auskunftsersuchen pro Jahr 950 fristgerecht erfüllt wurden und 5% maximal 3 Monate zu spät beantwortet worden.
Ermittlung des Ausgangsbetrags
Wurde die Einstufung vorgenommen, soll der Ausgangsbetrag durch die Aufsichtsbehörde festgesetzt werden. Für diese Festsetzung bestehen weiterhin keine konkreten Werte oder Ermittlungsmethoden. Jedoch wird festgelegt, dass der Ausgangsbetrag bei:
- geringen Verstößen zwischen 0 bis 10% des gesetzlichen Höchstbetrages liegen soll
- mittleren Verstößen zwischen 10 bis 20% des gesetzlichen Höchstbetrages liegen soll
- schweren Verstößen zwischen 20 und 100% des gesetzlichen Höchstbetrages liegen soll
| Verstoß | gegen Art. 83 Abs. 4 DSGVO | gegen Art. 83 Abs. 5 DSGVO | gegen Art. 83 Abs. 6 DSGVO |
|---|---|---|---|
| Gering | 0 bis 1 Mio. € oder 0 bis 0,2% des Vorjahresumsatzes |
0 bis 2 Mio. € oder 0 bis 0,4% des Vorjahresumsatzes |
0 bis 2 Mio. € oder 0 bis 0,4% des Vorjahresumsatzes |
| Mittel | 1 bis 2 Mio. € oder 0,2% bis 0,4% des Vorjahresumsatzes |
2 bis 4 Mio. € oder 0,4% bis 0,8% des Vorjahresumsatzes |
2 bis 4 Mio. € oder 0,4% bis 0,8% des Vorjahresumsatzes |
| Hoch | 2 bis 10 Mio. € oder 0,4% bis 2% des Vorjahresumsatzes |
4 bis 20 Mio. € oder 0,8% bis 4% des Vorjahresumsatzes |
4 bis 20 Mio. € oder 0,8% bis 4% des Vorjahresumsatzes |
Berücksichtigung der wirtschaftlichen Möglichkeiten eines Unternehmens
Unternehmen sind nicht gleich Unternehmen, insbesondere für klein- und mittelständige Unternehmen können die Bemessungen unter Berücksichtigung der Höchstgrenzen weitreichende Auswirkungen haben. Daher sieht das Konzept vor, das je nach Umsatzgröße eines Unternehmens der Ausgangsbetrag angepasst werden kann:
- Bei Unternehmen mit einem Jahresumsatz von ≤ 2 Mio. Euro kann eine Reduzierung auf bis zu 0,2% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von ≤ 10 Mio. Euro kann eine Reduzierung auf bis zu 0,4% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von ≤ 50 Mio. Euro kann eine Reduzierung auf bis zu 2% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von ≤ 100 Mio. Euro kann eine Reduzierung auf bis zu 10% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von ≤ 250 Mio. Euro kann eine Reduzierung auf bis zu 20% des Ausgangsbetrags erfolgen.
- Bei Unternehmen mit einem Jahresumsatz von > 250 Mio. Euro kann eine Reduzierung auf bis zu 50% des Ausgangsbetrags erfolgen.
Schritt 3
Im nächsten Schritt sollen dem festgelegten Ausgangsbetrag erschwerende oder mildernde Umstände hinzugerechnet werden. Auch hierbei werden keine konkreten Werte benannt, wie sich diese auf den Ausgangsbetrag auswirken sollen.
Unter anderem sollen folgende Punkte berücksichtigt werden:
- Grad der Verantwortung des Bußgeldempfängers
- Frühere Verstöße des Bußgeldempfängers und dessen zeitlicher Abstand, sowie der Zusammenhang der Verstöße
- Grad der Zusammenarbeit mit der Aufsichtsbehörde
- Wie der Verstoß der Aufsichtsbehörde bekannt wurde
- Befolgung bereits angeordneter Maßnahmen
- Einhaltung von genehmigten Verhaltenskodizes und Zertifizierungen
Schritt 4
Auch wenn erschwerende Kriterien das Bußgeld erhöht haben, darf der gesetzliche Höchstbetrag nicht überschritten werden. Dies soll noch einmal im Schritt 4 geprüft werden.
Schritt 5
Bußgelder sollen wirksam, verhältnismäßig und abschreckend sein. Dabei sollen die Aufsichtsbehörden noch einmal prüfen, ob das Bußgeld geeignet ist, dass der Bußgeldempfänger sein Verhalten ändern wird und dass er dies zukünftig nicht wiederholt. Auch sollen Andere abgeschreckt werden, ein ähnliches Verhalten zu zeigen.
Auch wenn es nur bei „außergewöhnlichen Umständen“ zum Tragen kommen soll, wird bei der Verhältnismäßigkeit auch die Zahlungsfähigkeit des Unternehmens berücksichtigt. Hierbei sollen die Aufsichtsbehörden die wirtschaftliche Lebensfähigkeit, den Nachweis des Wertverlustes und spezifische, soziale und wirtschaftliche Kontexte berücksichtigen. Ergeben sich hierbei Kriterien, die die Zahlungsfähigkeit des Unternehmens außergewöhnlich beeinträchtigen, kann die Aufsichtsbehörde ebenfalls das Bußgeld reduzieren.
Autor: Michael Konitzer
Artikel erstellt am 31.05.2022, aktualisiert am 12.06.2023
Bildquelle: TarikVision / shutterstock.com