Der Europäische Datenschutzausschuss EDSA hat am 12. Mai 2022 den 40-seitigen Entwurf von Leitlinien zur Harmonisierung der von den nationalen Behörden angewandten Methoden zur Berechnung von Bussgeldern verabschiedet (Guidelines 04/2022 on the calculation of administrative fines under the GDPR). Stellungnahmen werden bis am 27. Juni 2022 entgegengenommen.
Allgemeines
Bussen sind nach den Leitlinien in fünf Schritten zu bestimmen:
Der Hauptteil der Leitlinien besteht in einer Erläuterung dieser fünf Schritte. Was sich rasch zeigt (die untenstehenden Beispiele zur Verdeutlichung): Die Bussen sind stark abhängig von der Unternehmensgrösse, und zwar überproportional,
- weil der maximale Bussenrahmen bei hohen Umsätzen steigt
- und der Bussenrahmen bei umsatzstarken Unternehmen auch stärker ausgeschöpft wird).
Mit anderen Worten: Non-Compliance trifft Grossunternehmen über-überproportional.
Der EDSA erwähnt zusätzlich, dass Behörden für bestimmte Verstösse fixe Bussen vorsehen können – wohl als Erleichterung des Massengeschäfts gedacht. Immerhin:
It is recommended that the supervisory authority communicates the amounts and circumstances for application beforehand.
Schritt 1: Gegenstand der Bussenbemessung
In diesem Schritt ist zu bestimmen, welches Verhalten sanktioniert werden soll, d.h. Bestimmung der relevanten Verarbeitungstätigkeiten und Bestimmung der Anwendbarkeit von Art. 83 Abs. 3 DSGVO (Konkurrenz mehrerer Verletzungen).
Schritt 2: Bestimmung des Ausgangsbetrags
Bei diesem Schritt geht es um die Bestimmung eines Ausgangsbetrags, der anschliessend erhöht oder reduziert werden kann.
Der EDSA geht zunächst vom Bussenrahmen nach Art. 83 Abs. 4 – 6 DSGVO aus (EUR 10 Mio./2% oder EUR 20 Mio./4%).
Danach ist die Schwere des Verstosses nach Art. 83 Abs. 2 lit. a, b und g DSGVO zu bestimmen, (u.a) nach Art, Schwere und Dauer des Verstosses, Art der Daten, Zahl der Betroffenen, Schadenausmass, Verschulden (Vorsatz oder Fahrlässigkeit – Indiz für Vorsatz ist z.B. ein nicht befolgter Rat des Datenschutzbeauftragten oder eine Verletzung eigener Richtlinien) usw. Das Ergebnis ist eine erste Kategorisierung des Ausgangsbetrags, wobei der Betrag auch innerhalb dieser Kategorien graduell nach Schwere des Verstosses zu bemessen ist:
- Geringe Schwere (“Low level of seriousness”): Der Ausgangsbetrag soll 10% des Bussenrahmens nicht überschreiten
- mittlere Schwere: 10 – 20%
- hohe Schwere: 20 – 100%
Anschliessend ist der Umsatz des Unternehmens zu berücksichtigen, weil Bussen u.a. abschreckend wirken müssen – hier schlägt der EDSA folgende Modifikationen vor:
- Jahresumsatz ≤ EUR 2 Mio: 0.2% des Startbetrags
- Jahresumsatz ≤ EUR 10 Mio: 0.4% des Startbetrags
- Jahresumsatz ≤ EUR 50 Mio: 2% des Startbetrags
- Jahresumsatz EUR 50 – 100 Mio: 10% des Startbetrags
- Jahresumsatz EUR 100 – 250 Mio: 20% des Startbetrags
- Jahresumsatz ≥ EUR 250 Mio: 50% des Startbetrags
Man kann diese Logik in einem Excel als rudimentären Bussenrechner abbilden:
Allerdings werden Aufsichtsbehörden nicht verpflichtet, den Umsatz in dieser Weise zu berücksichtigen:
68. As a general rule, the higher the turnover of the undertaking within its applicable tier, the higher the starting amount is likely to be. The latter holds particularly true for the largest of undertakings, for which the category of starting amounts has the widest range.
69. Moreover, the supervisory authority is under no obligation to apply this adjustment if it is not necessary from the point of view of effectiveness, dissuasiveness and proportionality to adjust the starting amount of the fine.
70. It should be reiterated that these figures are the starting points for further calculation, and not fixed amounts (price tags) for infringements of provisions of the GDPR. The supervisory authority has the discretion to utilize the full fining range from any minimum fine until the legal maximum, ensuring that the fine is tailored to the circumstances of the case, as the Court of Justice requires in case an abstract starting point is used.
Beispiele zur Illustration (von uns):
- Verletzung der Datensicherheit / schwerer Verstoss / Jahresumsatz EUR 50 Mio. → Ausgangsbetrag = EUR 120’000
- EUR 10 Mio./2% des Jahresumsatzes (Art. 83 Abs. 6 DSGVO), hier 10 Mio. EUR (da höher als 2% von EUR 50 Mio.);
- hohe Schwere: 20 – 100% von EUR 20 Mio., also bei 60% = EUR 6 Mio.
- Umsatz: EUR 50 Mio., daher 2% des Startbetrags
- Verletzung der Informationspflicht / mittelschwerer Verstoss / Jahresumsatz EUR 130 Mio. → Ausgangsbetrag = EUR 600’000
- EUR 20 Mio./4% des Jahresumsatzes (Art. 83 Abs. 5 DSGVO), hier 20 Mio. EUR (da höher als 4% von EUR 130);
- mittlere Schwere: 10 – 20% von EUR 20 Mio., also bei 15% = EUR 3 Mio.
- Umsatz: EUR 130 Mio., daher 20% des Startbetrags
- Pflicht, eine Sicherheitsverletzung zu melden / leichter Verstoss / Jahresumsatz EUR 1.5 Mia. → Ausgangsbetrag = EUR 750’000:
- EUR 10 Mio./2% des Jahresumsatzes (Art. 83 Abs. 4 DSGVO), hier 30 Mio. EUR (2% von 1.5 Mia.);
- leichte Schwere: 0 – 10% von EUR 30 Mio., also bei 5% = EUR 1.5 Mio.
- Umsatz: > EUR 250 Mio., daher 50% des Startbetrags
- Pflicht, Daten zu löschen / schwerer Verstoss / Jahresumsatz von EUR 4 Mia. → Ausgangsbetrag = EUR 48 Mio.:
- EUR 20 Mio./4% (Art. 83 Abs. 5 DSGVO), hier EUR 160 Mio. (4% von 4 Mia.)
- hohe Schwere: 20 – 100% von EUR 160 Mio., also bei 60% = EUR 96 Mio.
- Umsatz: > EUR 250 Mio., daher 50% des Startbetrags
Die überproportionale Steigerung nach Umsatz kann man anhang einer mittelschweren Verletzung der Löschpflicht illustrieren:
- Umsatz von EUR 1 Mio.: EUR 6’000
- Umsatz von EUR 10 Mio.: EUR 12’000
- Umsatz von EUR 100 Mio.: EUR 300’000
- Umsatz von EUR 1 Mia.: EUR 3’000’000
- Umsatz von EUR 5 Mia.: EUR 15’000’000
Übrigens – gilt der Umsatz des betreffenden Unternehmens oder der Gruppe?
Diese lang diskutierte Frage beantwortet der EDSA wenig überraschend anhand des kartellrechtlichen Unternehmensbegriffs:
As for the term “undertaking”, the European legislator provides explicit further clarification. Recital 150 GDPR states: “Where administrative fines are imposed on an undertaking, an undertaking should be understood to be an undertaking in accordance with Articles 101 and 102 TFEU for those purposes.”
119. Therefore, Article 83(4) – (6) GDPR in light of recital 150 relies on the concept of undertaking in accordance with Articles 101 and 102 TFEU, without prejudice to Article 4(18) GDPR (which gives a definition of an enterprise) and Article 4(19) GDPR (which defines a group of undertakings). The former concept is mainly used in Chapter V GDPR, in the phrase group of enterprises engaged in a joint economic activity. Besides that, the term is applied in a general sense, not as the addressee of a provision or obligation.
120. Accordingly, in cases where the controller or processor is (part of) an undertaking in the sense of Articles 101 and 102 TFEU, the combined turnover of such undertaking as a whole can be used to determine the dynamic upper limit of the fine (see Chapter 6.2.2), and to ensure that the resulting fine is in line with the principles of effectiveness, proportionality and dissuasiveness (Article 83(1) GDPR)47.
Der EDSA erläutert diese Faktoren näher, besonders den kartellrechtlichen Begriff der Single Economic Unit (SEU).
Schritt 3: Einschätzung erschwerender und mildernder Umstände
Unter diesem Titel sind Faktoren zu berücksichtigen, die erschwerend oder mildernd wirken. Damit ist das frühere oder aktuelle Verhalten des Unternehmens gemeint, z.B. schadenmitigierende Massnahmen, frühere Verstösse, Kooperation mit der Behörde, Selbstanzeige, Verletzergewinn (!) usw. Eine betragsmässige Modifikation des Grundbetrags schlägt der EDSA hier aber nicht vor.
Schritt 4: Höchstbeträge
Die gesetzlichen Höchstbeträge (2%/EUR 10 Mio. bzw. 4%/EUR 20 Mio.; der höhere Betrag) für die relevanten Verarbeitungsvorgänge stellt ein Maximum dar, das nicht überschritten werden kann. Eigentlich sollte dies Schritt 5 sein, nicht Schritt 4.
Schritt 5
Im letzten Schritt muss die Behörde einschätzen, ob der errechnete Betrag den Anforderungen der Wirksamkeit, Abschreckung und Verhältnismässigkeit entspricht; ggf. wird er angepasst.