EDSA: Ent­wurf der Leit­li­ni­en zur Bus­sen­be­mes­sung – je grö­sser, desto teuerer

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat am 12. Mai 2022 den 40-sei­ti­gen Ent­wurf von Leit­li­ni­en zur Har­mo­ni­sie­rung der von den natio­na­len Behör­den ange­wand­ten Metho­den zur Berech­nung von Buss­gel­dern ver­ab­schie­det (Gui­de­li­nes 04/2022 on the cal­cu­la­ti­on of admi­ni­stra­ti­ve fines under the GDPR). Stel­lung­nah­men wer­den bis am 27. Juni 2022 entgegengenommen.

All­ge­mei­nes

Bus­sen sind nach den Leit­li­ni­en in fünf Schrit­ten zu bestimmen:

Der Haupt­teil der Leit­li­ni­en besteht in einer Erläu­te­rung die­ser fünf Schrit­te. Was sich rasch zeigt (die unten­ste­hen­den Bei­spie­le zur Ver­deut­li­chung): Die Bus­sen sind stark abhän­gig von der Unter­neh­mens­grö­sse, und zwar überproportional,

  • weil der maxi­ma­le Bus­sen­rah­men bei hohen Umsät­zen steigt
  • und der Bus­sen­rah­men bei umsatz­star­ken Unter­neh­men auch stär­ker aus­ge­schöpft wird).

Mit ande­ren Wor­ten: Non-Com­pli­an­ce trifft Gross­un­ter­neh­men über-über­pro­por­tio­nal.

Der EDSA erwähnt zusätz­lich, dass Behör­den für bestimm­te Ver­stö­sse fixe Bus­sen vor­se­hen kön­nen – wohl als Erleich­te­rung des Mas­sen­ge­schäfts gedacht. Immerhin:

It is recom­men­ded that the super­vi­so­ry aut­ho­ri­ty com­mu­ni­ca­tes the amounts and cir­cum­stan­ces for app­li­ca­ti­on beforehand.

Schritt 1: Gegen­stand der Bussenbemessung

In die­sem Schritt ist zu bestim­men, wel­ches Ver­hal­ten sank­tio­niert wer­den soll, d.h. Bestim­mung der rele­van­ten Ver­ar­bei­tungs­tä­tig­kei­ten und Bestim­mung der Anwend­bar­keit von Art. 83 Abs. 3 DSGVO (Kon­kur­renz meh­re­rer Verletzungen).

Schritt 2: Bestim­mung des Ausgangsbetrags

Bei die­sem Schritt geht es um die Bestim­mung eines Aus­gangs­be­trags, der anschlie­ssend erhöht oder redu­ziert wer­den kann.

Der EDSA geht zunächst vom Bus­sen­rah­men nach Art. 83 Abs. 4 – 6 DSGVO aus (EUR 10 Mio./2% oder EUR 20 Mio./4%).

Danach ist die Schwe­re des Ver­sto­sses nach Art. 83 Abs. 2 lit. a, b und g DSGVO zu bestim­men, (u.a) nach Art, Schwe­re und Dau­er des Ver­sto­sses, Art der Daten, Zahl der Betrof­fe­nen, Scha­den­aus­mass, Ver­schul­den (Vor­satz oder Fahr­läs­sig­keit – Indiz für Vor­satz ist z.B. ein nicht befolg­ter Rat des Daten­schutz­be­auf­trag­ten oder eine Ver­let­zung eige­ner Richt­li­ni­en) usw. Das Ergeb­nis ist eine erste Kate­go­ri­sie­rung des Aus­gangs­be­trags, wobei der Betrag auch inner­halb die­ser Kate­go­rien gra­du­ell nach Schwe­re des Ver­sto­sses zu bemes­sen ist:

  • Gerin­ge Schwe­re (“Low level of serious­ness”): Der Aus­gangs­be­trag soll 10% des Bus­sen­rah­mens nicht überschreiten
  • mitt­le­re Schwe­re: 10 – 20%
  • hohe Schwe­re: 20 – 100%

Anschlie­ssend ist der Umsatz des Unter­neh­mens zu berück­sich­ti­gen, weil Bus­sen u.a. abschreckend wir­ken müs­sen – hier schlägt der EDSA fol­gen­de Modi­fi­ka­tio­nen vor:

  • Jah­res­um­satz ≤ EUR 2 Mio: 0.2% des Startbetrags
  • Jah­res­um­satz ≤ EUR 10 Mio: 0.4% des Startbetrags
  • Jah­res­um­satz ≤ EUR 50 Mio: 2% des Startbetrags
  • Jah­res­um­satz EUR 50 – 100 Mio: 10% des Startbetrags
  • Jah­res­um­satz EUR 100 – 250 Mio: 20% des Startbetrags
  • Jah­res­um­satz ≥ EUR 250 Mio: 50% des Startbetrags

Man kann die­se Logik in einem Excel als rudi­men­tä­ren Bus­sen­rech­ner abbilden:

Aller­dings wer­den Auf­sichts­be­hör­den nicht ver­pflich­tet, den Umsatz in die­ser Wei­se zu berücksichtigen:

68. As a gene­ral rule, the hig­her the tur­no­ver of the under­ta­king wit­hin its app­li­ca­ble tier, the hig­her the star­ting amount is likely to be. The lat­ter holds par­ti­cu­lar­ly true for the lar­gest of under­ta­kings, for which the cate­go­ry of star­ting amounts has the widest range.
69. Moreo­ver, the super­vi­so­ry aut­ho­ri­ty is under no obli­ga­ti­on to app­ly this adjust­ment if it is not necessa­ry from the point of view of effec­ti­ve­ness, dissua­si­ve­ness and pro­por­tio­na­li­ty to adjust the star­ting amount of the fine.
70. It should be rei­tera­ted that the­se figu­res are the star­ting points for fur­ther cal­cu­la­ti­on, and not fixed amounts (pri­ce tags) for infrin­ge­ments of pro­vi­si­ons of the GDPR. The super­vi­so­ry aut­ho­ri­ty has the dis­cre­ti­on to uti­li­ze the full fining ran­ge from any mini­mum fine until the legal maxi­mum, ensu­ring that the fine is tailo­red to the cir­cum­stan­ces of the case, as the Court of Jus­ti­ce requi­res in case an abstract star­ting point is used.

Bei­spie­le zur Illu­stra­ti­on (von uns):

  • Ver­let­zung der Daten­si­cher­heit / schwe­rer Ver­stoss / Jah­res­um­satz EUR 50 Mio. → Aus­gangs­be­trag = EUR 120’000
    • EUR 10 Mio./2% des Jah­res­um­sat­zes (Art. 83 Abs. 6 DSGVO), hier 10 Mio. EUR (da höher als 2% von EUR 50 Mio.);
    • hohe Schwe­re: 20 – 100% von EUR 20 Mio., also bei 60% = EUR 6 Mio.
    • Umsatz: EUR 50 Mio., daher 2% des Startbetrags
  • Ver­let­zung der Infor­ma­ti­ons­pflicht / mit­tel­schwe­rer Ver­stoss / Jah­res­um­satz EUR 130 Mio. → Aus­gangs­be­trag = EUR 600’000
    • EUR 20 Mio./4% des Jah­res­um­sat­zes (Art. 83 Abs. 5 DSGVO), hier 20 Mio. EUR (da höher als 4% von EUR 130);
    • mitt­le­re Schwe­re: 10 – 20% von EUR 20 Mio., also bei 15% = EUR 3 Mio.
    • Umsatz: EUR 130 Mio., daher 20% des Startbetrags
  • Pflicht, eine Sicher­heits­ver­let­zung zu mel­den / leich­ter Ver­stoss / Jah­res­um­satz EUR 1.5 Mia. → Aus­gangs­be­trag = EUR 750’000:
    • EUR 10 Mio./2% des Jah­res­um­sat­zes (Art. 83 Abs. 4 DSGVO), hier 30 Mio. EUR (2% von 1.5 Mia.);
    • leich­te Schwe­re: 0 – 10% von EUR 30 Mio., also bei 5% = EUR 1.5 Mio.
    • Umsatz: > EUR 250 Mio., daher 50% des Startbetrags
  • Pflicht, Daten zu löschen / schwe­rer Ver­stoss / Jah­res­um­satz von EUR 4 Mia. → Aus­gangs­be­trag = EUR 48 Mio.:
    • EUR 20 Mio./4% (Art. 83 Abs. 5 DSGVO), hier EUR 160 Mio. (4% von 4 Mia.)
    • hohe Schwe­re: 20 – 100% von EUR 160 Mio., also bei 60% = EUR 96 Mio.
    • Umsatz: > EUR 250 Mio., daher 50% des Startbetrags

Die über­pro­por­tio­na­le Stei­ge­rung nach Umsatz kann man anhang einer mit­tel­schwe­ren Ver­let­zung der Lösch­pflicht illustrieren:

  • Umsatz von EUR 1 Mio.: EUR 6’000
  • Umsatz von EUR 10 Mio.: EUR 12’000
  • Umsatz von EUR 100 Mio.: EUR 300’000
  • Umsatz von EUR 1 Mia.: EUR 3’000’000
  • Umsatz von EUR 5 Mia.: EUR 15’000’000

Übri­gens – gilt der Umsatz des betref­fen­den Unter­neh­mens oder der Grup­pe?

Die­se lang dis­ku­tier­te Fra­ge beant­wor­tet der EDSA wenig über­ra­schend anhand des kar­tell­recht­li­chen Unter­neh­mens­be­griffs:

As for the term “under­ta­king”, the Euro­pean legis­la­tor pro­vi­des expli­cit fur­ther cla­ri­fi­ca­ti­on. Reci­tal 150 GDPR sta­tes: “Whe­re admi­ni­stra­ti­ve fines are impo­sed on an under­ta­king, an under­ta­king should be under­s­tood to be an under­ta­king in accordance with Arti­cles 101 and 102 TFEU for tho­se purposes.”

119. The­re­fo­re, Arti­cle 83(4) – (6) GDPR in light of reci­tal 150 reli­es on the con­cept of under­ta­king in accordance with Arti­cles 101 and 102 TFEU, without pre­ju­di­ce to Arti­cle 4(18) GDPR (which gives a defi­ni­ti­on of an enter­pri­se) and Arti­cle 4(19) GDPR (which defi­nes a group of under­ta­kings). The for­mer con­cept is main­ly used in Chap­ter V GDPR, in the phra­se group of enter­pri­ses enga­ged in a joint eco­no­mic acti­vi­ty. Bes­i­des that, the term is app­lied in a gene­ral sen­se, not as the addres­see of a pro­vi­si­on or obligation.

120. Accord­in­gly, in cases whe­re the con­trol­ler or pro­ces­sor is (part of) an under­ta­king in the sen­se of Arti­cles 101 and 102 TFEU, the com­bi­ned tur­no­ver of such under­ta­king as a who­le can be used to deter­mi­ne the dyna­mic upper limit of the fine (see Chap­ter 6.2.2), and to ensu­re that the resul­ting fine is in line with the princi­ples of effec­ti­ve­ness, pro­por­tio­na­li­ty and dissua­si­ve­ness (Arti­cle 83(1) GDPR)47.

Der EDSA erläu­tert die­se Fak­to­ren näher, beson­ders den kar­tell­recht­li­chen Begriff der Sin­gle Eco­no­mic Unit (SEU).

Schritt 3: Ein­schät­zung erschwe­ren­der und mil­dern­der Umstände

Unter die­sem Titel sind Fak­to­ren zu berück­sich­ti­gen, die erschwe­rend oder mil­dernd wir­ken. Damit ist das frü­he­re oder aktu­el­le Ver­hal­ten des Unter­neh­mens gemeint, z.B. scha­den­mi­ti­gie­ren­de Mass­nah­men, frü­he­re Ver­stö­sse, Koope­ra­ti­on mit der Behör­de, Selbst­an­zei­ge, Ver­let­zer­ge­winn (!) usw. Eine betrags­mä­ssi­ge Modi­fi­ka­ti­on des Grund­be­trags schlägt der EDSA hier aber nicht vor.

Schritt 4: Höchstbeträge

Die gesetz­li­chen Höchst­be­trä­ge (2%/EUR 10 Mio. bzw. 4%/EUR 20 Mio.; der höhe­re Betrag) für die rele­van­ten Ver­ar­bei­tungs­vor­gän­ge stellt ein Maxi­mum dar, das nicht über­schrit­ten wer­den kann. Eigent­lich soll­te dies Schritt 5 sein, nicht Schritt 4.

Schritt 5

Im letz­ten Schritt muss die Behör­de ein­schät­zen, ob der errech­ne­te Betrag den Anfor­de­run­gen der Wirk­sam­keit, Abschreckung und Ver­hält­nis­mä­ssig­keit ent­spricht; ggf. wird er angepasst.