Neue Leitlinien zur Bußgeld-Berechnung

19. Juni 2023

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte vor kurzem überarbeitete Leitlinien zur Berechnung von Bußgeldern (Guidelines 04/2022). Danach legte die EDSA ein fünfstufiges System zur Berechnung von Bußgeldern fest.

Schwere des Verstoßes bestimmt Bußgeld

Nach Art. 83 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sollen Bußgelder wirksam, verhältnismäßig und abschreckend sein. Demzufolge seien die Bußgelder unter anderem anhand der Schwere des Verstoßes zu bemessen. Den Schweregrad eines Verstoßes teilte die EDSA aufgrund ihrer Auswirkungen in drei Niveaus ein, niedrig, mittel und schwer. Zu Verstößen mit einem niedrigen Schweregrad zählt zum Beispiel die Überschreitung der nach Art. 12 Abs. 3 DSGVO vorgesehenen Monatsfrist zur Beantwortung von Betroffenenanfragen. Zu einem Verstoß auf mittlerem Niveau zählten beispielsweise fehlende Sicherheitsvorkehrungen vor dem unautorisierten Zugriff auf Gesundheitsdaten. Dies sei der Fall, wenn in einem Unternehmen, die Mitarbeitenden Gesundheitsdaten von Kunden einzusehen könnten, ohne eine Autorisierung für diesen Zugriff zu haben. Auf der letzten Ebene des schwerwiegendsten Grades eines Verstoßes stünden beispielsweise ungefragte Telefonanrufe. So bei Anrufen eines Unternehmens bei seinen Kunden zu Werbezwecken, ohne dass eine Rechtsgrundlage für die Datenverarbeitung bestehe. Die Schwere des Verstoßes diene als Richtwert für das zu verhängende Bußgeld.

Zusätzlich sei der Verstoß seiner Art nach, zu kategorisieren und der Umsatz des Unternehmens bei der Berechnung zu beachten.

Fazit

Nachdem der EDSA die neuen Leitlinien nach der öffentlichen Konsultation angenommen hatten, veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Pressemitteilung. Darin sagte er, dass es mit den neuen Leitlinien erstmals „eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedstaaten“ gebe.

Es bleibt folglich zu beachten, dass sich die Leitlinien an Aufsichtsbehörden richten. Demnach sollten Verantwortliche mögliche Bußgelder nicht im Vorfeld kalkulieren, sondern versuchen Verstöße gegen die DSGVO zu verhindern.