Vereinheitlichung der Höhe von Geldbußen unter der DSGVO?

Die Geldbußen, die seit dem Inkrafttreten der DSGVO von den verschiedenen europäischen Aufsichtsbehörden verhangen wurden, unterscheiden sich in ihrer Höhe gewaltig. Während die deutschen Behörden bisher als höchste Geldbußen Beträge von EUR 20.000 und EUR 80.000 verhängten und damit weit hinter der möglichen Höchstbuße von EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes zurückblieben, sprachen Aufsichtsbehörden anderer Länder bereits höhere Geldbußen aus. Die portugiesische Behörde erließ gegen ein Krankenhaus eine Geldbuße in Höhe von EUR 400.000 und die französische Aufsichtsbehörde verhängte jüngst gegen Google eine Geldbuße in Höhe von EUR 50 Mio. In Polen kam es zu einem Bußgeld von EUR 219.500. 

Um ein Auseinanderdriften der Höhe der verhangenen Geldbußen zu vermeiden, sieht Art. 70 der DSGVO vor, dass der Europäische Datenschutzausschuss, das Gremium der Aufsichtsbehörden der EU Mitgliedsstaaten, Leitlinien für eine einheitliche Anwendung der Bußgeldvorschriften erlässt. Die DSGVO selbst bestimmt hinsichtlich der Geldbußen nämlich nur, dass diese (u.a.) einen abschreckenden Charakter haben sollen. Ansonsten steht es im Ermessen der jeweiligen Behörde je nach Art, Schwere, Umfang und den Umständen des Verstoßes sowie den finanziellen Mitteln des Verantwortlichen über die Höhe der Geldbuße zu entschieden. Im Aktionsplan des Europäischen Datenschutzausschusses für 2019/2020 ist jedoch keine Leitlinie hinsichtlich der Bemessung von Geldbußen vorgesehen. 

Niederländische Datenschutzbehörde legt Richtwerte fest 

Um zumindest national unterschiedlich und eventuell willkürlich bemessenen Geldbußen entgegenzuwirken, hat nun die niederländische Aufsichtsbehörde Richtwerte für Geldbußen nach der DSGVO erlassen. Dafür teilte sie die Verstöße gegen Vorschriften der DSGVO in Abhängigkeit der von ihr ermittelten Schwere des Verstoßes in vier Kategorien ein. Für jede Bußgeldkategorie legte sie einen Bußgeldrahmen, einschließlich eines gemittelten Basisbußgeldwerts fest, der als Ausgangspunkt zur Bestimmung der Geldbuße dienen soll. Je nach Art, Schwere und Umfang des Verstoßes kann der Basiswert durch die Behörde bis zum Minimum oder Maximum des Bußgeldrahmens angepasst werden. In Ausnahmefällen kann die Behörde auch vollständig von der Kategorie abweichen, wenn ansonsten keine angemessene Bestrafung gewährleistet werden kann. Bei einem wiederholten Verstoß in einer gleichen oder ähnlichen Angelegenheit innerhalb von 5 Jahren soll die Geldbuße generell um 50 % erhöht werden. 

Auffallend ist, dass der oberste Bußgeldrahmen bei EUR 1 Mio. endet. Der von der DSGVO vorgesehene Bußgeldrahmen bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes wird also bei Weitem nicht ausgeschöpft. Die Aufsichtsbehörde muss folglich stets Gründe für einen Ausnahmefall angeben, um einem Verantwortlichen eine höhere Geldbuße als EUR 1 Mio. aufzulegen, selbst wenn es sich um einen schweren Verstoß handelt. Dies wird die Fälle von Bußgeldern über EUR 1 Mio. in der Praxis auf jeden Fall verringern. 

In diese höchste Kategorie, deren Basiswert bei EUR 725.000. liegt, fallen Verstößen gegen die Vorschriften bei der Verarbeitung besonderer Kategorien personenbezogener Daten und der automatisierten Entscheidungsfindung. 

In die zweithöchste Kategorie, mit einem Basiswert von EUR 525.000, der entweder bis EUR 750.000 erhöht oder bis EUR 300.000 vermindert werden kann, fallen Verstößen gegen die Informationspflichten der Artikel 13 und 14, die Wahrung der Rechte der Betroffenen sowie die unrechtmäßige Übermittlung von Daten in Drittstaaten und ein Verstoß gegen die Meldepflichten bei einer Datenschutzverletzung. 

Unternehmensfreundlich ist, dass strukturelle Verstöße, wie der Verstoß gegen das Verarbeitungsverzeichnis und gegen technische und organisatorische Maßnahmen, hingegen nur in die dritthöchste Kategorie fallen, die eine Basisgeldbuße in Höhe von EUR 310.000 vorsieht, die bis EUR 500.000 erhöht bzw. bis EUR 120.000 reduziert werden kann. 

Auswirkungen auf Deutschland 

Obwohl in Deutschland wegen der Vielzahl der Datenschutzbehörden eine größere Gefahr vor ungleichen Geldbußen besteht, scheint die Datenschutzkonferenz bis jetzt keine Richtwerte zur Bestimmung der Geldbußen erstellen zu wollen, sondern verweist dafür auf den Europäischen Datenschutzausschuss. 

Es ist aber anzunehmen, dass deutsche Datenschutzbehörden die Richtwerte sowie bereits verhängte Geldbußen ausländischer Datenschutzbehörden als Orientierung für die Bestimmung der Höhe ihrer Geldbußen nehmen werden. Da die ausländischen Behörden offensichtlich strengere Maßstäbe anlegen und selbst die niederländischen moderaten Beträgen über ein Vielfaches der höchsten in Deutschland verhangenen Geldbuße liegen, ist zu erwarten, dass die deutschen Behörden bei den nächsten Bußgeldentscheidungen nachziehen werden und ebenfalls das Niveau der Geldbußen anheben werden, um nicht als zu lasch im Vergleich mit ihren europäischen Kollegen angesehen zu werden. 

Es empfiehlt sich daher die noch anhaltende Schonfrist der deutschen Behörden zu nutzen und seine internen Prozesse DSGVO-konform zu gestalten, um bei einer Meldung oder einer Prüfung einer erhöhten Geldbuße zu entgehen.