EDSA Guidelines 04/2022 – Version 1.0 adopted on 12 May 2022

• Die EDSA (Europäischer Datenschutzausschuss) hat 2022 erstmalig Leitlinien zur Berechnung für Geldbußen veröffentlicht.
• Es handelt sich dabei um einen einheitlichen Ausgangspunkt zur Berechnung der Bußgelder durch die Datenschutzbehörden.
• Im Fokus der Berechnung stehen drei Aspekte: die Art des Verstoßes nach Kategorien, die Schwere des Verstoßes und der Umsatz des betreffenden Unternehmens.
• Zuvor gab es keinen einheitlichen Maßstab zur Berechnung der Geldbußen.

Das Berechnungsverfahren besteht insgesamt aus fünf Schritten.

1. Die zuständige Datenschutzbehörde muss feststellen, ob überhaupt eine oder mehrere sanktionierbare Handlungen vorliegen und ob diese zu einem oder mehreren Verstößen geführt hat.
2. Es muss der Ausgangspunkt zur Berechnung zugrunde gelegt werden, für welchen die EDSA die Berechnung vorsieht.
3. Es müssen erschwerende, mildernde und sonstige Faktoren geprüft werden anhand der einheitlichen Auslegung vorgegeben durch die Richtlinie.
4. Zudem muss der gesetzliche Höchstbetrag nach Art. 83 Abs. 4-6 DSGVO bestimmt werden und geprüft werden, dass dieser nicht überschritten wird.
5. Als letztes muss der berechnete Endbetrag auf die Anforderung in Bezug auf Wirksamkeit, abschreckende Wirkung und Verhältnismäßigkeit, sowie sonstige Anpassungen überprüft werden.

Ziel der Leitlinie ist die weitere Harmonisierung innerhalb der DSGVO-Länder auch bezüglich der Geldbußen, sowie Schaffung von Transparenz beim Vorgehen der nationalen Datenschutzbehörden.

Daneben soll eine wirksame Zusammenarbeit auch in grenzüberschreitenden Fällen unter den Datenschutzbehörden sichergestellt werden.

Weiterhin müssen insbesondere die Umstände des Einzelfalls jeweils ermittelt und berücksichtigt werden. Jedoch wurden nun die verschiedenen Kriterien zur Bemessung des Einzelfalls erstmalig vereinheitlicht, sodass eine Verhältnismäßigkeit überhaupt erst entstehen kann.

Die abschreckende Wirkung soll dadurch jedoch nicht beschränkt werden.

EDSA Guidelines 04/2022 – Version 2.0 adopted on 24 May 2023

Die Version 2.0 ist im Unterschied zu ihrem Vorgänger nach der öffentlichen Befragung/Kommentierung verabschiedet worden.

Version 1.0 ging am 12.05.2022 „live“ woraufhin innerhalb von sechs Wochen die Öffentlichkeit mithilfe von Kommentaren und Anmerkungen mitwirken konnte.

Die öffentliche Beteiligung wurde dann in der Version 2.0 berücksichtigt und entsprechend adaptiert.

Die dreiunddreißig Kommentare aus insgesamt 12 Ländern sind hier einsehbar.
Die Version 2.0 gilt seit dem 24.05.2023.

Geändert haben sich lediglich Kleinigkeiten. Es wurde ein Diagramm oder ein Beispiel eingefügt, sowie Abgrenzungen ergänzt oder Erläuterungen in den Fußnoten eingebracht. Zudem wurden Formulierungen überarbeitet, um für mehr Transparenz und Klarheit zu sorgen.

Die bearbeiteten Teile sind in der Gliederung leicht nach rechts versetzt, ergeben insgesamt aber keine weitreichenden Änderungen im Vergleich zur Version 1.0.

• Durch die öffentliche Beteiligung fühlen sich die potenziell Betroffenen inkludiert. Zudem wird das Knowhow von Stellen genutzt, die sich bereits tiefgehend mit der Thematik auseinandergesetzt haben.
• Die Transparenz wird durch das öffentliche Kommentierungsverfahren gefördert.
• Zuletzt wird die Richtlinie damit automatisch geprüft, ob Fehler oder Unklarheiten vorhanden sind, bzw. ob Kollisionen mit dem jeweiligen nationalen Recht bestehen könnte.

“According to Article 70(1)(e) GDPR, the EDPB is empowered to issue guidelines, recommendations and best practices in order to encourage consistent application of the GDPR. Article 70(1)(k) GDPR specifies that the Board shall ensure the consistent application of the GDPR and shall, on its own initiative or, where relevant, at the request of the European Commission, in particular, draw up guidelines for supervisory authorities concerning the application of measures referred to in Article 58 and the setting of administrative fines pursuant to Article 83.

In order to achieve a consistent approach to the imposition of administrative fines that adequately reflects all of the principles in the GDPR, the EDPB has agreed on a common understanding of the assessment criteria in Article 83 GDPR. The individual supervisory authorities will reflect this common approach, in accordance with the local administrative and judicial laws applicable to them.”

Zusammengefasst: die EDSA hat die Autorität diese Richtlinie zu erlassen und die individuellen Aufsichtsbehörden sollen die Richtlinie unter Berücksichtigung der nationalen Rechte anwenden.

Stand: 21.06.2023