Zahlen, bitte!

Das European Data Protection Board (EDPA) hat die „Guidelines 04/2022 on the calculation of administrative fines under the GDPR“ veröffentlicht.

Ziel ist ein abgestimmtes Vorgehen bei der Berechnung von Bußgeldern nach Datenpannen und Datenschutzverstößen. Wer sich erinnert: die deutschen Aufsichtsbehörden hatten Ende 2019 ein Berechnungsmodell vorgestellt. Es wurde zeitweise sogar von mindestens einer Aufsichtsbehörde die kühne These vertreten: Kein Datenschutzverstoß ohne Bußgeld! Das Modell war zahlreicher Kritik ausgesetzt, da es letztlich ein rein mathematische Betrachtung vornahm und von einem Mindestwert ausgehend, erst einmal nur Erhöhungsfaktoren in die Berechnung eingestellt und erst ganz am Schluss noch mal Abschläge vorgenommen wurden. Und tatsächlich lohnte es sich in der Regel, ein verhängtes Bußgeld nicht zu akzeptieren, sondern dagegen vorzugehen, um eine Reduzierung zu erreichen.

Die jetzigen Guidelines betonen schon im Executive Summary, dass die Berechnung „keine reine mathematische Übung“ ist und, sondern die Umstände des Einzelfalls die entscheidenden Faktoren seien, die zu einem Endbetrag führen, der zwischen Mindest- und Höchstbetrag der gesetzlichen Regelung (Artikel 83 DSGVO) liegen kann.

Vorgesehen ist ein fünfstufiges Verfahren, zu finden auf Seite 6, mit ausführlichen Erläuterungen in den nachfolgenden Kapiteln der Publikation:

1. Identifizieren der betroffenen Verarbeitung
2. Ermitteln des Ausgangspunkts für die Berechnung
3. Bewerten der erschwerenden und mildernden Umstände
4. Ermitteln der gesetzlichen Höchstwerte, wobei berücksichtige Erhöhungen aus Schritt 3 nicht die Höchstwerte überschreiten dürfen
5. Analysieren, ob der ermittelte Betrag den Anforderungen an Wirksamkeit, Abschreckung und Verhältnismäßigkeit des Artikel 83 entspricht, ggf. Anpassung des Betrages.

Das Konsultationsverfahren läuft bis 27. Juni 2022.