Europäischer Datenschutz­ausschuss: Aktualisierte Leitlinien zur ­Berechnung von Bußgeldern

Der Europäische Datenschutzausschuss (EDSA) hat vor einer Weile seine Leitlinien für die Berechnung von Bußgeldern aktualisiert. Grund genug, sich die (aus Unternehmenssicht) umfassende Hilfestellung des EDSA zur eigenen Bewertung etwaiger Bußgeldrisiken in Erinnerung zu rufen.

Bereits im Mai 2022 hatte der EDSA Leitlinien für die Berechnung von Bußgeldern erlassen, in der die europäischen Aufsichtsbehörden erstmals eine gemeinsame Methodik zur Berechnung von Bußgeldern formulierten. Die fünfstufige Berechnungsmethodik soll zu einer weiteren Harmonisierung und Transparenz der Bußgeldpraxis der Datenschutzbehörden beitragen.

Von redaktionellen Anpassungen und inhaltlichen Klarstellungen abgesehen, wurde in der nun aktualisierten Version der Leitlinien ein Annex mit einer Referenztabelle hinzugefügt, der die Methodik zur Bußgeldberechnung zusammenfasst und weitere Beispiele für die Anwendung der Methodik in der Praxis enthält. Die Tabelle soll die im Hauptteil der Leitlinien dargelegte, bereits geltende Vorgehensweise zur Berechnung von Bußgeldern veranschaulichen.

Für Unternehmen können die (aktualisierten) Leitlinien zu einem essentiellen Instrument werden, um Bußgeldrisiken in der Praxis besser einschätzen zu können, etwa im Fall von Datenschutzverletzungen. In der Praxis dürften dabei auch die Erwägungen der Behörden zur Bewertung erschwerender und mildernder Umstände aufgrund des Verhaltens des datenschutzrechtlich Verantwortlichen eine zentrale Rolle spielen, wenn es um die Erhöhung oder Herabsetzung von Geldbußen geht (Stufe 3). Sowohl Verhalten in der Vergangenheit als auch in der Gegenwart kann danach Einfluss auf die Höhe des Bußgeldes haben. Gerade letzteres kann daher ein wesentlicher strategischer Faktor für jede Data Protection Litigation sein.