Verstöße gegen bestehende Datenschutzvorschriften können für Unternehmen künftig teurer werden als bisher. Der Europäische Datenschutzausschuss (kurz: ESDA) hat ein neues Bußgeld Modell beschlossen. Betroffen sind vor allem große und umsatzstarke Unternehmen.
Der ESDA – das gemeinsame Abstimmungsgremium der europäischen Datenschutzbehörden – hat am 12. Mai 2022 einen Beschluss zur Berechnung von Bußgeldern bei Datenschutzverstößen veröffentlicht. Das 40-seitige Konzept soll in der Europäischen Union und im Europäischen Wirtschaftsraum zu einer Vereinheitlichung der Geldbußen bei DSGVO-Verstößen führen. Doch wie genau sieht das in der Praxis aus und was bedeutet das Konzept für Unternehmen?
Datenschutz-Verstöße: Das galt bisher
Die Idee eines Bußgeld-Konzepts für Datenschutz-Verstöße ist nicht neu. Bereits 2019 stellten die deutschen Datenschutzbehörden ein Modell zur Berechnung von DSGVO-Bußgeldern vor. Es galt jedoch nur für Unternehmen mit Sitz in Deutschland. Ähnliche Konzepte existierten auch in anderen europäischen Ländern.
Das führte bei der Bestrafung von Datenschutzverstößen zu einer – mitunter erheblichen – Diskrepanz. Während einige Mitgliedsstaaten eher niedrige Geldbußen verhängten, mussten Unternehmen in anderen Ländern für vergleichbare Verstöße Geldbußen in zwei- oder dreistelliger Millionenhöhe zahlen.
Europaweite Vereinheitlichung der Bußgelder
Doch damit soll jetzt Schluss sein. Das unter dem Titel „Guidelines on the calculation of administrative fines under the GDPR“ (übersetzt: Richtlinien zur Berechnung von administrativen Strafen gemäß Datenschutz-Grundverordnung) vorgestellte Dokument löst Bußgeld-Konzepte auf nationaler Ebene ab.
Zukünftig müssen alle Datenschutzbehörden der europäischen Mitgliedsstaaten das EU-Konzept bei der Verhängung von DSGVO-Bußgeldern anwenden.
Wie genau läuft das Verfahren ab?
Das EU-Konzept sieht eine 5-Schritte-Überprüfung des Datenschutzverstoßes vor. Zunächst ist zu bestimmen, welches Verhalten sanktioniert werden soll. Anschließend bewertet die Behörde die Schwere des Verstoßes und legt einen Ausgangsbetrag für das Bußgeld fest. Dieser orientiert sich am geltenden gesetzlichen Höchstbetrag und bemisst sich wie folgt:
- Verstoß von geringer Schwere: Ausgangsbetrag zwischen 0 und 10 Prozent des gesetzlichen Höchstbetrags
- Verstoß mittlerer Schwere: Ausgangsbetrag zwischen 10 und 20 Prozent des gesetzlichen Höchstbetrags
- Schwerwiegende Verstöße: Ausgangsbetrag zwischen 20 und 100 Prozent des gesetzlichen Höchstbetrags
Von Bedeutung ist auch der Umsatz des Unternehmens. Es gilt: Je höher der Umsatz, desto höher das finale Bußgeld. Im nächsten Schritt prüft die Datenschutzbehörde, ob erschwerende oder mildernde Umstände vorliegen und ob die gesetzlichen Höchstbeträge eingehalten wurden. Abschließend wird festgestellt, ob der ermittelte Endbetrag wirksam, verhältnismäßig und vor allem abschreckend ist.
Je größer, desto teurer: Diese Unternehmen sind betroffen
Zweifelsohne sind umsatzstarke Unternehmen vom neuen EU-Konzept am stärksten betroffen. Während Betriebe mit einem Jahresumsatz von unter 2 Mio. Euro lediglich 0,2 Prozent des Ausgangsbetrags zahlen müssen, droht Unternehmen mit einem Jahresumsatz von mehr als 250 Mio. Euro ein Bußgeld i.H.v. mindestens 50 Prozent des Ausgangsbetrages. Ein Unterschied, der vor allem in Mitgliedstaaten, die bisher eher niedrige DSGVO-Bußgelder verhängt haben, zu deutlich höheren Strafen führt.
Allerdings gesteht die ESDA den europäischen Datenschutzbehörden einen Handlungsspielraum zu. Die Bußgeld-Berechnung solle stets anhand der konkreten Umstände des Einzelfalls erfolgen und keineswegs ein „rein mathematischer Vorgang“ sein, so das Gremium.
Wie sollten Datenschutzbeauftragte und Unternehmen reagieren?
Datenschutzbeauftragte sollten ihr Unternehmen über den neuen Beschluss und die damit verbundenen Risiko-Änderungen umfassend informieren. So lassen sich rechtzeitig entsprechende Verteidigungs- und Vermeidungsstrategien entwickeln. Erschwerend kommt hinzu, dass Unternehmen nach den neuen ESDA-Richtlinien direkt für alle Handlungen oder Unterlassungen ihrer Vertreter haften.
Aus diesem Grund ist es – insbesondere für umsatzstarke Konzerne – unerlässlich, konkrete Handlungsempfehlungen für Mitarbeiter zu formulieren, um das Risiko einer hohen DSGVO-Geldbuße zu minimieren.
