EU setzt auf Einheitlichkeit bei der Sanktionierung von Verfehlungen gegen die DSGVO

Die einheitliche Sanktionierung von Datenschutzverstößen schreitet allmählich voran. Der Europäische Datenschutzausschuss hat Leitlinien zur Bußgeldbemessung definiert, um mehr Transparenz zu schaffen und Datenschutzverstöße und deren Bewertung europaweit gleich zu gestalten.

In der DSGVO wird nicht nur klar definiert, worin Datenschutzverstöße bestehen, sondern auch, wer gegen sie ermitteln darf und welche Sanktionierungen gesetzlich möglich sind. Bei schwerwiegenden Verstößen können Bußgelder in beträchtlicher Höhe verhängt werden. In extremen Fällen können die Bescheide Summen von bis zu 20 Millionen Euro einfordern, maximal gelten vier Prozent des weltweiten Jahresumsatzes eines Unternehmens als Obergrenze für die Bußgeldbemessung. Spektakuläre Urteile haben in den vergangenen Jahren bereits zu Bußgeldern in schwindelerregender Höhe geführt – vor allem gegen die Tech-Giganten aus den USA.

Einmal mehr haben sich die obersten deutschen Datenschützer als Wegweiser erwiesen, um EU-weit vergleichbare Praktiken zu etablieren. Beispielsweise hat die Datenschutzkonferenz (DSK) unter der Federführung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink, bereits im Oktober 2019 ein eigenes Konzept zur Bußgeldzumessung entwickelt, um die europaweite Transparenz bei Bußgeldern zu erhöhen. Nun hat der Europäische Datenschutzausschuss in seiner Sitzung vom 12. Mai Leitlinien zur Bußgeldbemessung („Guidelines on the calculation of fines“) verabschiedet, die den Vorschlägen aus Deutschland weitgehend entsprechen. Damit ist der Weg frei für eine europaweit harmonisierte Praxis bei Datenschutzverstößen.

Vergleichbar mit den Ansätzen im Konzept der DSK wurde ein Grundbetrag („starting point“) für die Bußgeldzumessung definiert. Der Grundbetrag ist angelehnt an die Erheblichkeit des Datenschutzverstoßes, berücksichtigt die Norm, gegen die verstoßen wurde, und setzt dies in Relation zum Jahresumsatz des Unternehmens. Beispielsweise kann der Grundbetrag bei mittelschweren Verstößen bis zu 20 Prozent der gesetzlichen Bußgeldgrenze betragen. Für Kleinstunternehmen mit einem Umsatz von höchstens 2 Millionen Euro wird dieser Betrag auf 0,2 Prozent reduziert. Der EDSA macht damit deutlich, dass der Unternehmensumsatz auch für die konkrete Bußgeldberechnung eine maßgebliche Größe ist, Bußgelder umgekehrt die Unternehmen auch nicht überfordern dürfen.

Wohlwollende Reaktion aus Deutschland

Stefan Brink äußerte sich in einer Stellungnahme im Mai 2022 zum europäischen Vorstoß äußerst zufrieden: „Wir schaffen in Europa mehr Transparenz in der Bußgeldpraxis und sorgen für Rechtsklarheit in zentralen Fragen der Bußgeldbemessung. Die Leitlinien sind allerdings kein „Bußgeldrechner“, vielmehr bedarf eine wirksame, verhältnismäßige und abschreckende Sanktionierung nach wie vor einer konkreten Abwägung im Einzelfall durch die Gerichte, die Datenschutzvergehen verhandeln.“

Zur Info: EDSA steht für den „Europäischen Datenschutzausschuss“. Er fungiert als Dachorganisation, die die nationalen Datenschutzbehörden der Länder des Europäischen Wirtschaftsraums sowie den Europäischen Datenschutzbeauftragten (EDPS) zusammenbringt. Der EDSA stellt sicher, dass die europäische Datenschutzgrundverordnung rechtlich durchgesetzt wird sowie eine Strafverfolgungsrichtlinie zur Anwendung kommt. Der EDSA fasst regelmäßig Entscheidungen bei grenzüberschreitenden Fällen von Datenschutzverstößen, um eine europaweit einheitliche Rechtsprechung anzustreben.

Zentrale der EDSA ist ein Büro in der belgischen Landeshauptstadt. Derzeit stehen dem Gremium Anu Talus und zwei stellvertretende Vorsitzende, Irene Loizidou Nicolaidou und Aleid Wolfsen, mit jeweils fünfjährigen Amtszeiten vor.