von Tim WybitulDr. Isabelle Brams

Der Europäische Datenschutzausschuss (EDSA) hat am 12. Mai 2022 Leitlinien zur Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße veröffentlicht (Leitlinien). Die Leitlinien sollen das Bußgeldrecht in den einzelnen EU-Mitgliedstaaten vereinheitlichen. Es ist damit zu rechnen, dass die deutschen Datenschutzaufsichtsbehörden die neuen Vorgaben des EDSA zukünftig bei der Berechnung und Verhängung von Bußgeldern nach Art. 83 EU Datenschutzgrundverordnung (DSGVO) zugrunde legen werden. Der nachstehende Überblick zeigt die wesentlichen Inhalte des neuen Bußgeldkonzepts und seine möglichen Folgen für die Praxis. Weitere Informationen zu den neuen Leitlinien können Sie – mit freundlicher Unterstützung von Legal Tribune Online – auch hier abrufen.

Die wichtigsten Folgen für die Praxis auf einen Blick

  • Abschreckung: Die EDPB-Leitlinien betonen die Notwendigkeit wirksamer und abschreckender GDPR-Bußgelder an einigen Stellen deutlich stärker als die Notwendigkeit von verhältnismäßigen Sanktionen. Vor allem Gedanken der Abschreckung und der wirksamen Ahndung festgestellter Verstöße stehen an vielen Regelungen der Leitlinien im Vordergrund.
  • Umsatz: Ähnlich wie einige frühere nationale DSGVO-Bußgeldkonzepte (etwa das der deutschen Datenschutzbehörden) legt das EDPB-Modell erhebliches Gewicht auf die von einem Konzern oder einem Unternehmen erzielten Einnahmen.
  • Hohe Geldbußen: Für Konzerne oder Unternehmen mit hohen Einnahmen wird das neue Bußgeldmodell des EDPB wahrscheinlich öfter zu Geldbußen am oberen Ende des Strafrahmens führen. Auch im Rahmen von möglichen Verständigungen dürfte entsprechende Forderungen der Behörden bzw. Geldbußen dann deutlich höher ausfallen.
  • Verbindliche Geltung: Die Datenschutzbehörden haben sich darauf verständigt, das EDPB-Bußgeldkonzept verbindlich anzuwenden, aber die Leitlinien lassen einen gewissen Ermessensspielraum bei der Festlegung der Geldbußen zu. Es wird damit für die Datenschutzbehörden schwieriger werden, niedrige Geldbußen gegen für die Verarbeitung Verantwortliche mit hohen Einnahmen zu rechtfertigen. Einige deutsche, aber auch die Datenschutzbehörden Luxemburgs und Irlands beispielsweise werden wahrscheinlich in Kooperations- und Kohärenzverfahren kritisiert werden, wenn sie das EDPB-Modell nicht anwenden.
  • Vorhersehbarkeit: Der Grad der Vorhersehbarkeit von GDPR-Geldbußen auf der Grundlage der EDPB-Leitlinien ist begrenzt, zumindest in Bezug auf Konzerne oder Unternehmen mit kleinen bis mittleren Einnahmen
  • Direkte Unternehmenshaftung: Der EDSB bekräftigt, dass die Datenschutzbehörden der Ansicht sind, dass sie auch Geldbußen gegen andere juristische Personen einer Gruppe, einschließlich Muttergesellschaften, verhängen können und dass es eine “direkte Unternehmenshaftung” gebe, die nicht durch nationales Recht eingeschränkt werden kann
  • Konzernumsatz: Nach dem EDPB-Modell sollen die Geldbußen auf der Grundlage des Umsatzes der gesamten Unternehmensgruppe festgelegt werden, auch wenn eine solche Regelung nach der Rechtsprechung des EuGH eigentlich in einem Erwägungsgrund nicht angeordnet werden kann (vgl. Rechtssache Karen Millen Fashion).

Überblick über wesentliche Inhalte des Bußgeldkonzepts

Die Leitlinien sehen ein sehr komplexes, fünfstufiges Modell zur Berechnung von Bußgeldern vor. Ausgangspunkt der Berechnung ist der sogenannte Starting Point, der sich insbesondere an der Art und Schwere des Datenschutzverstoßes sowie dem Umsatz des Verantwortlichen oder Auftragsverarbeiters orientiert. Die Leitlinien zielen insofern klar auf eine Bebußung von Unternehmen und Konzernen mit einem hohen Umsatz ab. Dazu sehen die Leitlinien eine deutliche Erhöhung von Bußgeldern bei einem jährlichen Umsatz von mehr als 50 Mio. Euro vor.

Dieser Schwellenwert dürfte in der Praxis oftmals erreicht werden. Denn nach Auffassung des EDSA ist der Umsatz eines Unternehmens anhand kartellrechtlicher Grundsätze zu bestimmen. Danach beschränkt sich der Begriff des Unternehmens nicht auf die konkrete juristische Person. Vielmehr ist der Umsatz der sogenannten wirtschaftliche Einheit heranzuziehen, für deren Bestimmung in erster Linie faktische Beherrschungsrechte maßgeblich sind. Damit können unter anderem auch Konzerne und Unternehmensverbände eine wirtschaftliche Einheit bilden. Mögliche Bußgelder sind in diesem Fall anhand des Umsatzes des gesamten Konzerns zu berechnen.

Der EDSA geht in den Leitlinien sogar noch einen Schritt weiter: Nach seiner Auffassung können die Datenschutzaufsichtsbehörden auch unmittelbar Bußgelder gegen Muttergesellschaften für Datenschutzverstöße von Tochtergesellschaften verhängen. Die Leitlinien begründen damit eine Durchgriffshaftung für Datenschutzverstöße im Konzern.

Der EDSA geht zudem davon aus, dass Datenschutzaufsichtsbehörden Bußgelder auch direkt gegen Unternehmen verhängen können. Anders als beispielsweise im deutschen Ordnungswidrigkeitenrecht vorgesehen, verzichtet der EDSA damit bewusst auf den Nachweis einer für den Datenschutzverstoß kausal gewordenen Aufsichtspflichtverletzung einer Leitungsperson des Unternehmens. Auf dieser Basis können Datenschutzaufsichtsbehörden zukünftig deutlich leichter Bußgelder gegen Unternehmen verhängen. Der EDSA weicht insofern von der Auffassung des deutschen Bundesinnenministeriums sowie einiger deutscher Gerichte ab.

Allerdings kommt den nationalen Datenschutzaufsichtsbehörden bei der Berechnung und Verhängung von Bußgeldern weiterhin ein großer Ermessensspielraum zu. Ausweislich der Leitlinien sollen die Aufsichtsbehörden hierbei aber sicherstellen, dass Bußgelder stets abschreckend und wirksam sind. Den Grundsatz der Verhältnismäßigkeit betont der EDSA hingegen deutlich weniger.

Ausblick und mögliche Folgen für die Praxis

Interessierte Personen, Vereinigungen und Unternehmen können bis zum 27. Juni 2022 Anmerkungen zu den Leitlinien einreichen. Es lässt sich derzeit noch nicht belastbar abschätzen, ob der EDSA entsprechende Eingaben berücksichtigen wird. Die Erfahrungen aus bisherigen Öffentlichkeitsverfahren deuten aber darauf hin, dass der EDSA die Grundkonzeption des neuen Bußgeldkonzepts nicht mehr wesentlich anpassen wird.

Unternehmen sind daher gut beraten, sich bereits jetzt auf mögliche Bußgeldverfahren wegen Datenschutzverstößen vorzubereiten. Es ist damit zu rechnen, dass auch solche Datenschutzaufsichtsbehörden, die bei der Verhängung von Bußgeldern bislang eher zurückhalten waren, zukünftig deutliche höhere Bußgelder verhängen könnten. Dies gilt insbesondere in grenzüberschreitenden Verfahren. Im Rahmen möglicher Kooperations- und Kohärenzverfahren dürften die anderen Datenschutzaufsichtsbehörden auf schärfere Sanktionen dringen. Für Aufsichtsbehörden wird es entsprechend deutlich schwieriger, niedrigere Bußgelder zu rechtfertigen. Einen Überblick über die von den deutschen Aufsichtsbehörden in 2021 verhängten Bußgelder können Sie hier abrufen.

Um sich auf mögliche Bußgeldverfahren vorzubereiten, sollten Unternehmen mögliche Schwachstellen im Datenschutz umgehend identifizieren und beheben. Dies sollte in enger Abstimmung mit dem Management des Unternehmens und den relevanten internen Abteilungen erfolgen. Einen weitergehenden Überblick über mögliche Verteidigungsstrategien gegen DSGVO-Bußgelder können Sie hier abrufen. Der hier hinterlegte Beitrag zeigt zudem, wie man sich als Unternehmen bei möglichen Datenpannen und Cyberangriffen effektiv gegen mögliche DSGVO-Risiken verteidigen kann.