Contact
QR code for the current URL

Story Box-ID: 1208247

DEUDAT GmbH Zehntenhofstraße 5b 65201 Wiesbaden, Germany http://www.deudat.de
Contact Ms Fabienne Arndt +49 2627 26499956
Company logo of DEUDAT GmbH

Neue EDSA-Richtlinien zur Berechnung von DSGVO-Bußgeldern veröffentlicht

(PresseBox) (Wiesbaden, )
Verletzungen gegen die Vorschriften der Datenschutz-Grundverordnung (DSGVO) können von den Datenschutz-Aufsichtsbehörden mit Bußgeldern bestraft werden. Aus Art. 83 DSGVO ergibt sich, dass Verstöße gegen die DSGVO mit im Einzelfall wirksam, verhältnismäßig und abschreckenden Geldbußen belegt werden. Dabei werden verschiedene Kriterien gelistet, anhand welchen die Datenschutz-Aufsichtsbehörden den Betrag der Geldbußen setzen können. So werden in Art. 83 Abs. 2 DSGVO die Art und Schwere des Verstoßes, Vorsätzlichkeit, eventuelle getroffene Maßnahmen zur Minderung oder auch die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, genannt. Da diese Angaben jedoch unterschiedlich interpretiert werden können, hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zur Berechnung von Bußgeldern veröffentlicht. Damit soll die Berechnung der Bußgelder zwischen den Datenschutz-Aufsichtsbehörden in der EU harmonisiert werden.

Berechnung in 5 Schritten

Bußgelder werden in fünf Schritten berechnet, von den allgemeinen Bedingungen für die Verhängung von Geldbußen bis zur Bestimmung des genauen Betrags.

Schritt 1: Allgemeine Bedingungen nach Art. 83 DSGVO

Zuerst wird festgestellt, ob eine Handlung vorliegt, welche nach Art. 83 DSGVO mit einem Bußgeld belegt wird. Dies ist unter anderem der Fall, wenn ein Verstoß gegen die Datenschutz-Grundverordnung vorliegt.
  1. Art und Schwere des Verstoßes: Die Art des Verstoßes spielt eine zentrale Rolle bei der Bewertung. Handelt es sich um eine einmalige oder wiederholte Handlung? Welche Rechte und Freiheiten der betroffenen Personen wurden verletzt? Besonders schwerwiegend sind Verstöße, die eine große Anzahl von Personen betreffen oder besonders sensible Daten umfassen.
  2. Vorsätzlichkeit oder Fahrlässigkeit: Es wird geprüft, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde. Ein vorsätzlicher Verstoß wird in der Regel strenger geahndet als ein fahrlässiger, da hier die bewusste Missachtung der Vorschriften im Vordergrund steht.
  3. Maßnahmen zur Minderung: Maßnahmen, die nach dem Verstoß zur Schadensbegrenzung ergriffen wurden, können bußgeldmindernd wirken. Insbesondere, wenn diese Maßnahmen freiwillig und proaktiv durchgeführt wurden.
  4. Art der Bekanntwerdung: Auch die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, fließt in die Bewertung ein. Hat das Unternehmen den Verstoß selbst gemeldet, oder wurde er durch externe Hinweise aufgedeckt?
Schritt 2: Ausgangshöhe des Bußgeldes

Als zweites wird festgestellt, welche der beiden Obergrenzen (10 Mio. Euro / 2% des Jahresumsatzes oder 20 Mio. Euro / 4% des Jahresumsatzes) anwendbar sind. Dazu werden die Art, Schwere und Dauer des Verstoßes, ob dieser vorsätzlich oder fahrlässig begangen wurde, und welche Kategorien personenbezogener Daten betroffen sind.
  1. Obergrenzen gemäß Art. 83 DSGVO: Die DSGVO legt zwei Obergrenzen für Bußgelder fest: bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bzw. bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Die höhere dieser beiden Summen wird als Obergrenze verwendet.
  2. Festlegung der Ausgangshöhe: Die Ausgangshöhe des Bußgeldes wird innerhalb dieser Obergrenzen anhand der zuvor festgestellten Faktoren (Art und Schwere des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit, betroffene Datenkategorien) bestimmt.
Schritt 3: Bußgeldminderung oder -erhöhung

Daraufhin wird entschieden, ob bußgeldmindernde oder -erhöhende Umstände vorliegen. Unter Umständen ist dies der Fall, wenn Maßnahmen zur Schadensbegrenzung getroffen wurden; insbesondere, wenn diese vor Kenntniserlangung des Vorfalls durch die Datenschutzaufsichtsbehörde eingeleitet worden waren. Eine gute Zusammenarbeit mit der Aufsichtsbehörde wird ebenfalls berücksichtigt. Das Bußgeld kann beispielsweise auch steigen, wenn bereits in früheren Fällen ähnliche Regelverstöße vorlagen.
  1. Bußgeldmindernde Umstände: Bußgeldmindernde Umstände können unter anderem sein:
  • Ergreifen von Maßnahmen zur Schadensbegrenzung
  • Freiwillige Meldung des Verstoßes an die Aufsichtsbehörde
  • Gute Kooperation mit der Aufsichtsbehörde
  • Frühere Verhaltensweisen, die zur Einhaltung der DSGVO beitragen
  1. Bußgelderhöhende Umstände: Bußgelderhöhende Umstände können unter anderem sein:
  • Wiederholte Verstöße gegen die DSGVO
  • Verstoß betrifft besonders sensible Daten oder eine große Anzahl von Personen
  • Keine oder unzureichende Maßnahmen zur Schadensbegrenzung
  • Behinderung der Ermittlungen durch die Aufsichtsbehörde
Schritt 4: Obergrenze des Bußgeldes

Hier wird festgelegt, ob die statische Obergrenze (10 bzw. 20 Mio. Euro) oder die dynamische Obergrenze (2% bzw. 4% des Jahresumsatzes) verwendet wird. Gemäß Art. 83 Abs. 4, 5 DSGVO wird das höhere Bußgeld verhängt.
  • Statische vs. dynamische Obergrenze: Die Entscheidung zwischen der statischen (10 Mio. Euro oder 20 Mio. Euro) und der dynamischen Obergrenze (2 % oder 4 % des Jahresumsatzes) hängt von der finanziellen Lage des Unternehmens ab. Die dynamische Obergrenze wird in der Regel bei großen Unternehmen angewendet, um sicherzustellen, dass das Bußgeld eine abschreckende Wirkung hat.
  • Verhältnismäßigkeit: Bei der Festlegung der Obergrenze wird auch die Verhältnismäßigkeit des Bußgeldes berücksichtigt. Das Bußgeld soll angemessen hoch sein, um eine abschreckende Wirkung zu erzielen, aber nicht so hoch, dass es das Unternehmen unverhältnismäßig belastet.
Schritt 5: Individuelle Anpassung

Zuletzt kann das Bußgeld noch individuell angepasst werden. Dabei wird gemäß Art. 83 Abs. 1 DSGVO beurteilt, ob das Bußgeld angemessen wirksam, verhältnismäßig und abschreckend ist.
  • Wirksamkeit, Verhältnismäßigkeit und Abschreckung: Die DSGVO fordert, dass Bußgelder wirksam, verhältnismäßig und abschreckend sein müssen. Dies bedeutet, dass das Bußgeld hoch genug sein muss, um die Einhaltung der Vorschriften zu fördern und zukünftige Verstöße zu verhindern.
  • Individuelle Umstände: Bei der individuellen Anpassung des Bußgeldes werden alle relevanten Umstände des Einzelfalls berücksichtigt. Dazu können unter anderem die wirtschaftliche Lage des Unternehmens, die Schwere des Verstoßes und die getroffenen Maßnahmen zur Schadensbegrenzung zählen.
Weitere Faktoren und Überlegungen

Unternehmen und Datenschutzbeauftragte

Unternehmen sind verpflichtet, Datenschutzbeauftragte zu benennen, wenn sie bestimmte Kriterien erfüllen. Diese Datenschutzbeauftragten spielen eine wichtige Rolle bei der Einhaltung der DSGVO und können dazu beitragen, Verstöße zu vermeiden und mögliche Bußgelder zu minimieren.
  1. Aufgaben des Datenschutzbeauftragten: Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften im Unternehmen, schult Mitarbeiter, führt Datenschutz-Audits durch und ist Ansprechpartner für die Aufsichtsbehörde.
  2. Haftung des Unternehmens: Trotz der Benennung eines Datenschutzbeauftragten bleibt das Unternehmen für die Einhaltung der DSGVO verantwortlich. Der Datenschutzbeauftragte unterstützt das Unternehmen, entbindet es jedoch nicht von seiner Verantwortung.
Präventive Maßnahmen

Unternehmen können durch präventive Maßnahmen das Risiko von Verstößen gegen die DSGVO und damit verbundene Bußgelder minimieren.
  1. Schulung und Sensibilisierung: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter sind entscheidend, um das Bewusstsein für Datenschutz und die Anforderungen der DSGVO zu schärfen.
  2. Datenschutz-Audits: Interne und externe Datenschutz-Audits helfen, Schwachstellen zu identifizieren und Maßnahmen zur Verbesserung des Datenschutzes zu ergreifen.
  3. Technische und organisatorische Maßnahmen: Der Einsatz geeigneter technischer und organisatorischer Maßnahmen (TOMs) kann dazu beitragen, personenbezogene Daten zu schützen und das Risiko von Datenschutzverletzungen zu reduzieren.
Fazit

Die Berechnung von Bußgeldern bei Verstößen gegen die DSGVO erfolgt in einem strukturierten Prozess, der sicherstellen soll, dass die Bußgelder wirksam, verhältnismäßig und abschreckend sind. Unternehmen sollten proaktive Maßnahmen ergreifen, um die Einhaltung der Datenschutzvorschriften sicherzustellen und mögliche Bußgelder zu vermeiden. Durch die Benennung eines Datenschutzbeauftragten, regelmäßige Schulungen und Sensibilisierungen sowie die Durchführung von Datenschutz-Audits können Unternehmen das Risiko von Verstößen minimieren und ihren Verpflichtungen gemäß der DSGVO gerecht werden.

Website Promotion

Website Promotion
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.