Durch den Europäischen Datenschutzausschuss (EDSA) wurden neue Leitlinien zur Berechnung von Bußgeldern veröffentlicht. Sie sollen für eine Vereinheitlichung der Geldbußen in der EU sorgen. Aktuell befinden sich diese noch in einem öffentlichen Konsultationsverfahren, sind jedoch schon gültig. Was das für Unternehmen bedeutet, fassen wir heute kurz für Sie zusammen.

In Zukunft sollen Bußgelder durch die Datenschutzbehörden wegen Datenschutzverstößen schrittweise ermittelt werden. Hierbei liegt die Berechnung der Höhe des Bußgeldes nach wie vor im Ermessen der Aufsichtsbehörden und orientiert sich an den Vorschriften der DS-GVO. Bußgelder müssen wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DS-GVO). Bei der Höhe der Strafen spielt außerdem der Umsatz des betroffenen Unternehmens eine Rolle. Umsatzstarke Unternehmen müssen hier also mit entsprechend hohen Geldbußen bei Datenschutzverstößen rechnen.

Die Behörden müssen bei der Festsetzung der Geldbuße nun allerdings einige Schritte beachten:

Nachdem die Aufsichtsbehörden geprüft haben, ob ein oder mehrere Verstöße vorliegen, müssen für jeden einzelnen Verstoß die folgenden Schritte durchlaufen werden.

Zunächst ermittelt die Behörde die relevanten Verarbeitungsprozesse und bewertet die Schwere des Verstoßes nach den Umständen des Einzelfalls. Unter Berücksichtigung des Umsatzes des Unternehmens wird dann ein Betrag als Grundlage für die weitere Berechnung festgelegt.

Darauf folgt die Bewertung erschwerender oder mildernder Umstände, bezogen auf das frühere oder gegenwärtige Verhalten des für die Verarbeitung Verantwortlichen durch die Behörde und damit eine eventuelle Erhöhung oder Herabsetzung der Geldbuße.

Die gesetzlich vorgegebenen Höchstbeträge dürfen bei der gesamten Berechnung nicht überschritten werden.

Zuletzt wird geprüft, ob der ermittelte Betrag die Zwecke der Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt. An dieser Stelle kann das Bußgeld noch einmal angepasst werden.

Es ist wichtig zu bedenken, dass es sich bei dem Konzept um kein rein mathematisches handelt. Es sind stets die Umstände des konkreten Falls für die endgültige Berechnung entscheidend. Dennoch kann dieses neue Bußgeldmodell eine einheitlichere Praxis bei der Verhängung von Bußgeldern in der EU schaffen. Wie bereits erwähnt, sind gerade für umsatzstärkere Unternehmen höhere Geldbußen zu erwarten.

Datenschutzverstöße sind grundsätzlich zu vermeiden – das ist kein Geheimnis. Bußgelder sind dabei wichtige Abschreckungsmechanismen, um die Zahl der Verstöße so klein wie möglich zu halten. Um selbst nicht in die Bußgeldfalle zu tappen, sollten Unternehmen gemeinsam mit ihren Datenschutzbeauftragten Ablaufpläne und Strategien entwickeln, um Verstöße und damit auch hohe Geldbußen zu vermeiden. Hier ist auch entscheidend, dass der Datenschutzbeauftragte über geplante Einsätze neuer Software, Apps, Geräte etc. zu informieren ist, damit hier eine Risikoabschätzung stattfinden kann und künftig mögliche Datenschutzverstöße vermieden werden können.