Leitfaden: Wovon die Höhe von DSGVO-Bußgeldern abhängt

Die Datenschutzbehörden in der Europäischen Union haben in den vergangenen Jahren die Europäische Datenschutz-Grundverordnung (DSGVO) immer häufiger durchgesetzt. Die Gesamtzahl der in diesem Zeitraum in der Union verhängten Bußgelder ist jedoch nach wie vor undurchsichtig, da viele Entscheidungen nicht veröffentlicht werden. Wir haben das Thema bereits in einem separaten Blogbeitrag behandelt.

Was die maximale Höhe der verhängten Bußgelder angeht, bietet die Datenschutz-Grundverordnung drakonische Regelungen. Viele Business Leader, Datenschutzbeauftragte und Marketer fragen sich jedoch, wie sich dies in der Praxis auswirkt. Wovon hängt die Höhe der Geldbußen ab, die von den Datenschutzbehörden verhängt werden, wenn Unternehmen gegen die Verordnung verstoßen?

Die wichtigsten Punkte zur Bußgeld-Höhe

Die europäische Datenschutz-Grundverordnung (DSGVO) ermöglicht es den europäischen Datenschutzbehörden (DSB), Unternehmen mit Geldbußen von bis zu vier Prozent ihres Jahresumsatzes zu belegen, wenn diese gegen die Anforderungen der Verordnung für die Erhebung, Verarbeitung und Nutzung von Daten verstoßen.

Die Festsetzung der verhängten Strafhöhe bleibt den Datenschutzbehörden dabei aber selbst überlassen. Artikel 83 der DSGVO gibt hierfür lediglich einen Rahmen vor, der bei der Strafbemessung herangezogen und berücksichtigt werden soll. Gemäß diesem müssen die DSB vor allem sicherstellen, dass die im Rahmen der DSGVO verhängten Bußgelder wirksam, verhältnismäßig und abschreckend sind. Es hat sich weiters gezeigt, dass sich die Datenschutzbehörden bei der Festlegung der Strafhöhe, insbesondere bei hohen Geldbußen, an den Leitlinien des EuGHs orientieren.

Demnach sollten höhere Strafen verhängt werden, wenn eine oder mehrere der folgenden vier Bedingungen erfüllt sind:

Erstens, wenn die Zahl der betroffenen Personen und der daraus resultierende Schaden dies rechtfertigen.

Zweitens kann die Datenschutzbehörde, wenn in einem bestimmten Fall mehrere Verstöße begangen wurden, eine höhere Geldbuße verhängen und/oder Abhilfemaßnahmen vorschreiben.

Drittens ist der Verschuldensgrad bei der Bemessung von Geldstrafen heranzuziehen. In den Leitlinien heißt es dazu beispielsweise, dass vorsätzliches Verhalten seitens des für die Verarbeitung Verantwortlichen oder das Versäumnis, geeignete Präventivmaßnahmen zu ergreifen, bei der Bewertung der Höhe der Geldbuße durch die Datenschutzbehörde eine Rolle spielen.

Viertens stellt aber auch die Dauer des Verstoßes einen ausschlaggebenden Faktor dar.

Zwei Stufen für Bußgelder

Die DSGVO sieht darüber hinaus ein zweistufiges Bußgeldsystem vor, welches Aufschluss darüber gibt, welche Elemente der DSGVO die EU für besonders wichtig hält und welche die höchsten Bußgelder verdienen.

Die erste Stufe gilt für Verstöße gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter; der Zertifizierungsstelle und der Überwachungsstelle und ist auf 10.000.000 Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) begrenzt.

Die zweite Stufe ist auf 20.000.000 Euro oder 4 Prozent des weltweiten Jahresumsatzes begrenzt und umfasst Verstöße gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung; die Rechte der betroffenen Person; die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation; etc.

Bemerkenswert ist hierbei vor allem, dass bisher etwa nur gegen die Hälfte aller 42 Artikel der DSGVO, die zu Sanktionen führen können, Geldbußen verhängt wurden und die Höchstgrenze dabei noch nicht erreicht wurde.

Darüber hinaus enthalten aber viele Artikel der DSGVO Anforderungen, die Auslegungssache sind. So werden beispielsweise in Artikel 5 die Grundsätze für die Verarbeitung personenbezogener Daten aufgeführt: Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.

Verstöße gegen diese Grundsätze können die höchsten nach der Verordnung zulässigen Geldbußen nach sich ziehen (Stufe 2), aber mehrere dieser hochrangigen Grundsätze, welche die wichtigsten Säulen der DSGVO darstellen, können von den Datenschutzbehörden sehr unterschiedlich ausgelegt werden. Die Verordnung enthält dafür kaum konkrete Angaben, so dass zur Beantwortung dieser Fragen auf die Rechtsprechung zurückgegriffen werden muss.

Abschließend lässt sich festhalten, dass den DSB bei der Festlegung der konkreten Strafhöhe ein weiter Interpretations- und Anwendungsspielraum zukommt, dem ein bewegliches System der oben genannten Kriterien zugrunde liegt. Nichtsdestotrotz hat sich in den vergangenen Jahren jedoch klar gezeigt, dass sowohl die Anzahl als auch die Höhe der verhängten Strafen kontinuierlich gestiegen ist und ein Abreißen davon nicht zu erwarten ist.