Der Ansatz Des EDPB Zu DSGVO-Bußgeldern - Datenschutz

Mondaq verwendet Cookies auf dieser Website.Durch die Nutzung unserer Website stimmen Sie der Verwendung von Cookies gemäß unserer Datenschutzrichtlinie zu.Die Herangehensweise an die Bußgelder der Allgemeinen Datenschutzverordnung („DSGVO“) ist in den EU-Mitgliedstaaten sehr unterschiedlich.Am 16. Mai 2022 veröffentlichte der Europäische Datenschutzausschuss („EDPB“) Leitlinienentwürfe zur Berechnung von Geldbußen gemäß der DSGVO (die „Leitlinien“)1.Die Leitlinien sollen den Ausgangspunkt und die Methodik zur Berechnung von DSGVO-Bußgeldern harmonisieren, aber nicht das Ergebnis, da Bußgelder von allen Umständen des Einzelfalls abhängen.Die DSGVO-Bußgelder haben einen Aufwärtstrend verzeichnet, wobei die Zahl der schlagzeilenträchtigen Bußgelder, die gegen Big Tech in den Jahren 2021 und 2022 verhängt wurden, stark zugenommen hat. Vor August 2021 war die Geldbuße von Google für 2020 in Höhe von 50 Millionen Euro die höchste jemals verzeichnete Geldbuße.Dies ist jetzt nur die sechsthöchste registrierte Geldbuße, die für Verstöße gegen die DSGVO verhängt wurde2.Dies spiegelt sich auch im Bußgeldansatz der irischen Datenschutzkommission („DPC“) wider, deren drei größte Bußgelder in den letzten 12 Monaten verhängt wurden.Die Leitlinien führen eine harmonisierte fünfstufige Methode zur Berechnung von Verwaltungsgeldbußen ein.Eine Aufsichtsbehörde („SA“) identifiziert zunächst die betreffende Verarbeitung.Die SA wird prüfen, ob die Maßnahmen, die zu DSGVO-Verstößen führen, aus mehreren verschiedenen Prozessen oder einem einzelnen Prozess (oder verknüpften Prozessen) resultieren.Wenn derselbe oder verbundene Vorgang zu mehreren Verstößen führt, darf die verhängte Geldbuße den Höchstbetrag nicht überschreiten, der für den schwersten Verstoß gilt.Zwei Verarbeitungsvorgänge, die zu einem Verstoß führen, werden zum Zwecke der Festsetzung der verhängten Geldbuße „verknüpft“, wenn die Verletzungshandlungen eine Reihe miteinander verbundener Vorgänge bilden (z. B. das Sammeln und Speichern von Daten) oder wenn die Verletzungshandlungen unmittelbar aufeinander folgen.Wenn beispielsweise ein Finanzinstitut eine Kreditauskunft von einer Kreditauskunftei ohne angemessene Rechtsgrundlage anfordert und erhält und diese Informationen ohne angemessene Sicherheitsvorkehrungen speichert, führt dies zu zwei Verstößen, die sich aus zwei Verarbeitungsvorgängen ergeben: Erfassung und Speicherung;Da jedoch jeder Verarbeitungsvorgang Teil eines „verbundenen Vorgangs“ ist, sehen die Leitlinien vor, dass sie zum Zweck der Bestimmung der Höchststrafe als verbundene Vorgänge gelten würden.Sobald der/die relevante(n) Verarbeitungsverstoß(e) identifiziert ist/sind, ermittelt der SA die Startpunktsumme („SPS“) für die Berechnung der Geldbuße.Diese wird in drei Phasen unterteilt:(a) Identifizierung, in welche DSGVO-Höchstgeldkategorie es fällt:(i) 2 % des Jahresumsatzes des Unternehmens oder 10 Millionen Euro (je nachdem, welcher Betrag höher ist) für Verstöße, die unter Artikel 83 Absatz 4 der DSGVO fallen;oder(ii) 4 % des Jahresumsatzes des Unternehmens oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) für Verstöße, die unter Artikel 83 Absatz 5 und Artikel 83 Absatz 6 DSGVO fallen.Die SA verwendet den höheren der beiden Beträge, um die maximale Bußgeldkategorie der DSGVO in Bezug auf einen Verstoß zu bestimmen3.(b) Die SA bestimmt dann die Gesamtschwere des Verstoßes.Dabei werden Art, Schwere und Dauer des Verstoßes, der vorsätzliche oder fahrlässige Charakter des Verstoßes und die betroffenen Kategorien personenbezogener Daten (insbesondere wenn besondere Kategorien von Daten betroffen sind) berücksichtigt (Artikel 83 Absatz 2 )(a) ((b) bzw. (g) DSGVO. Die folgenden Prozentsätze der anwendbaren DSGVO-Höchstgeldbußenkategorie werden je nach Schweregrad des Verstoßes zur Bestimmung der SPS angewendet:(c) Die SA hat dann das Ermessen, die SPS auf einen niedrigeren Prozentsatz der in (b) berechneten Summe gemäß der nachstehenden Tabelle zu reduzieren, um sicherzustellen, dass die Geldbuße wirksam, verhältnismäßig und abschreckend ist.Die SA ist nicht verpflichtet, die SPS zu kürzen, und selbst wenn, darf sie den Betrag nur teilweise kürzen.Nach Einrichtung einer SPS prüft die SA erschwerende und mildernde Umstände gemäß Artikel 83 Absatz 2 DSGVO und passt die Geldbuße gegebenenfalls entsprechend an.Zu den Faktoren, die berücksichtigt werden können, gehören:(a) Alle Maßnahmen, die ergriffen werden, um den Schaden zu mindern, den die betroffenen Personen erlitten haben, insbesondere im Hinblick auf die Aktualität und Wirksamkeit solcher Maßnahmen.(b) Der Grad der Verantwortung des Verantwortlichen oder Auftragsverarbeiters.(c) Alle relevanten früheren Verstöße des Verantwortlichen oder des Auftragsverarbeiters und insbesondere, ob der Verantwortliche oder der Auftragsverarbeiter eine Erfolgsgeschichte von Verstößen hat.(d) Der Grad der Zusammenarbeit mit der SA, um den Verstoß zu beheben und die möglichen nachteiligen Auswirkungen des Verstoßes zu mindern.(e) Die Art und Weise, wie der SA der Verstoß bekannt wurde, insbesondere ob (und wenn ja, in welchem Umfang) der Verantwortliche oder der Auftragsverarbeiter den Verstoß gemeldet hat.Es gibt keine genauen Formeln für die Entscheidung über die Gewichtung jedes Faktors, und der SA kann nach eigenem Ermessen die SPS basierend auf dem Vorhandensein von erschwerenden oder mildernden Faktoren anpassen.Nachdem alle oben genannten Faktoren berücksichtigt wurden, prüft die SA, ob die SPS den Schwellenwert für die DSGVO-Bußgeldkategorie gemäß Artikel 83 (4) – (6) DSGVO nicht überschreitet.Dazu gehört die Überlegung, ob die maximale Geldbuße unter Bezugnahme auf die statischen Schwellenwerte von 10 oder 20 Millionen Euro oder die dynamische Schwelle, die unter Bezugnahme auf den Jahresumsatz eines Unternehmens festgelegt wird, festgesetzt wird4.Eine umsatzabhängige Höchstgrenze gilt nur, wenn der Gesamtjahresumsatz eines Unternehmens im Vorjahr mehr als 500 Millionen Euro beträgt.Schließlich prüft die SA, ob die Geldbuße wirksam, abschreckend und verhältnismäßig ist.Die Verhältnismäßigkeit wird anhand der Schwere des Verstoßes und der Größe des Unternehmens geprüft.Die Aufsichtsbehörde kann im Rahmen einer Verhältnismäßigkeitsprüfung auch besondere soziale und wirtschaftliche Faktoren berücksichtigen, etwa ob die Geldbuße die Geschäftstätigkeit des Unternehmens irreparabel schädigen würde.Die Geldbuße gilt als wirksam, wenn sie die Ziele erreicht, zu denen sie verhängt wurde, wie z. B. die Wiederherstellung der Einhaltung der Vorschriften, die Bestrafung rechtswidrigen Verhaltens oder beides.Die Geldbuße ist abschreckend, wenn sie eine echte abschreckende Wirkung auf die zuwiderhandelnde Stelle hat, dieselbe Zuwiderhandlung zu begehen.Die Leitlinien sollen zu einem transparenteren und verhältnismäßigeren Ansatz für Geldbußen für kleine und mittlere Unternehmen führen.Die Leitlinien werden für einen Aufwärtstrend bei Geldbußen für große Organisationen sorgen, insbesondere wenn eine Unternehmensgruppe als ein einziges Unternehmen betrachtet wird und die Geldbuße als Prozentsatz des Jahresumsatzes des Unternehmens berechnet wird.Im Zuge dieser neuen Richtlinien ist klar, dass die Zeiten relativ geringer Bußgelder für große Unternehmen, die gegen die DSGVO verstoßen, der Vergangenheit angehören.Es wird interessant sein zu sehen, inwieweit die in den Richtlinien dargelegte Methodik auf die Berechnung von Bußgeldern angewendet wird, die Instagram in der Entscheidung des DPC auferlegt werden, die diesen Monat erwartet wird und sich auf die angebliche Verletzung der Privatsphäre von Kindern durch Instagram bezieht .1 https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-042022-calculation-administrative_en2 Gegen Amazon (746 Mio. €), WhatsApp Ireland (225 Mio. €), Google Ireland (90 Mio. €), Facebook (60 Mio. €) und Google LLC (60 Mio. €) verhängte Bußgelder übersteigen diese Zahl jetzt mit 746 € von Amazon Millionenstrafe, die bisher höchste.3 Um unter die umsatzabhängige Haftungsobergrenze zu fallen, muss der Gesamtjahresumsatz des Unternehmens im vorangegangenen Geschäftsjahr mehr als 500 Millionen Euro betragen.4 Die bestehende Rechtsprechung des Gerichtshofs wird auf die Auslegung des Begriffs "Unternehmen" angewendet.Ein Unternehmen umfasst jede Einheit, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform oder Art ihrer Finanzierung.Beispielsweise können mehrere separate wirtschaftliche Einheiten als ein einziges „Unternehmen“ betrachtet werden, wenn eine Muttergesellschaft einen bestimmenden Einfluss auf die Tochtergesellschaft ausübt.Um dies zu ermitteln, werden die wirtschaftlichen, rechtlichen und organisatorischen Verbindungen zwischen der Muttergesellschaft und ihrer Tochtergesellschaft anhand von Faktoren wie Beteiligungen, personellen oder organisatorischen Bindungen, Weisungen und dem Bestehen von Gesellschaftsverträgen analysiert.Wenn eine Muttergesellschaft alle oder fast alle Anteile an einer rechtsverletzenden Tochtergesellschaft besitzt, besteht die Vermutung, dass die Muttergesellschaft einen bestimmenden Einfluss auf die Tochtergesellschaft ausgeübt hat, was dazu führen kann, dass der Umsatz der Muttergesellschaft für die Bußgeldberechnung herangezogen wird.Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zum Thema bieten.In Bezug auf Ihre spezifischen Umstände sollten Sie sich von einem Spezialisten beraten lassen.© Mondaq® Ltd 1994 - 2022. Alle Rechte vorbehalten.Passwort Bei Passwörtern wird zwischen Groß- und Kleinschreibung unterschiedenKostenloser, unbegrenzter Zugriff auf mehr als eine halbe Million Artikel (die Beschränkung auf einen Artikel entfällt) aus den unterschiedlichen Perspektiven von 5.000 führenden Anwalts-, Wirtschaftsprüfungs- und BeratungsunternehmenAuf Ihre Interessen zugeschnittene Artikel und optionale Benachrichtigungen über wichtige ÄnderungenErhalten Sie bevorzugte Einladungen zu relevanten Webinaren und VeranstaltungenSie müssen dies nur einmal tun, und die Informationen zur Leserschaft sind nur für Autoren bestimmt und werden niemals an Dritte verkauft.Wir benötigen dies, damit wir Sie mit anderen Benutzern derselben Organisation abgleichen können.Es ist auch Teil der Informationen, die wir an unsere Inhaltsanbieter („Beitragende“) weitergeben, die Inhalte kostenlos für Ihre Verwendung bereitstellen.

Vollständig anpassbar

One-Stop-Service

Über 10 Jahre Herstellererfahrung

Stellen Sie selbst strenge Produktanforderungen, behandeln Sie jeden Kunden ernst, bauen Sie das Markenimage Schritt für Schritt auf

Kontinuierliche Verbesserung, höchste Geschäftsstandards und Mehrwert für unsere Kunden im Fokus

Der Ansatz des EDPB zu DSGVO-Bußgeldern - Datenschutz - Europäische Union

Empfohlene Produkte

Nachrichten & Blog

HMI mit Texturen: Feine Haptik im industriellen Umfeld | invidis

Yaskawa: Update für Panel-PCs - Industrie-PC - Computer & AUTOMATION

MSI stellt neue Intel Core Gaming-Desktops der 12. Generation und neue Gaming-Monitore vor – Hardware

HMI im Auto: Magnetischer haptischer Drehantrieb auf Touchdisplay -

GT Bicycles Power Performer - neues E-Bike kommt mit BMX-Elementen und Hinterradantrieb - Pedelecs und E-Bikes

Garz & Fricke erweitert seine Nallino-Produktfamilie -

Infotainment | BMW präsentiert die achte Generation des iDrive | HMI-System springerprofessional.de

7-Zoll-Multitouch-Panel von Sigmatek zur Tragarmmontage -

B&R vereint Steuer- und Bedienpanel in einem Gerät -

Die 200 besten Unternehmen in Leicestershire - Leicestershire Live