Brüssel – Knapp 1,22 Milliarden Euro an Bußgeldern haben europäische Datenschutzbehörden im vergangenen Jahr verhängt – ein neuer Rekordwert. Laut dem Europäischen Datenschutzausschuss (EDSA) gibt es dabei allerdings ein Problem: Die Strafhöhen fallen in den EU-Staaten oft unterschiedlich hoch aus, selbst in ähnlich gelagerten Fällen. Unternehmen sind daher unterschiedlich stark betroffen – abhängig davon, wo sie ihren Sitz haben.

Um das zu ändern, hat die EDSA, die für die einheitliche Anwendung der Datenschutzgrundverordnung (DSGVO) in Europa verantwortlich ist, nun Leitlinien zur Strafbemessung vorgestellt. Die nationalen Datenschutzbehörden sollen demnach die Bußgelder künftig über eine standardisierte, fünfstufige Methodik berechnen.

Fünf Stufen

Grundlage für die Höhe der Strafen ist laut EU-Verordnung der Umsatz des betroffenen Unternehmens. Die Richtlinien der EDSA sollen nun etwa klarstellen, was mit dem Umsatz genau gemeint ist. Sie geben zudem vor, inwieweit erschwerende und mildernde Umstände bei der Strafhöhe berücksichtigt werden müssen.

Nino Tlapak, Partner und Experte für Datenschutz bei Dorda, zeigt sich erfreut über den Vorschlag. "Derartige Leitlinien haben bisher gefehlt", sagt der Rechtsanwalt. "Eine Vereinheitlichung auf europäischer Ebene ist jedenfalls begrüßenswert." Ob die neuen Vorgaben in Österreich zu höheren oder niedrigeren Strafen führen, lasse sich aber schwer voraussagen.

Mehr Transparenz

Derzeit gibt es in Österreich – im Gegensatz zu Deutschland – zumindest keine öffentlich verfügbare Berechnungsmethode. Schon bisher dürfte sich die Datenschutzbehörde aber an ähnlichen Parametern orientiert haben. Dabei spielt etwa eine Rolle, ob von einem Verstoß kritische Verarbeitungen oder sensible Daten umfasst sind, welche Maßnahmen vorab sowie im Nachgang zur Risikominimierung getroffen wurden oder ob das betroffene Unternehmen einen oder mehrere Verstöße begangen hat.

"Die einheitlichen Vorgaben machen es einfacher, ein Gefühl für die potenzielle Strafhöhe zu bekommen", sagt Tlapak. "Die betroffenen Unternehmen wollen natürlich wissen, womit sie im Worst Case rechnen müssen." Die Leitlinien sehen nun ein paar sinnvolle Prozentsätze und Berechnungsbeispiele vor, an denen man sich in der Praxis orientieren könne. Vor allem für grenzüberschreitend tätige Unternehmen würden die Guidelines zu erhöhter Transparenz beitragen.

Der Vorschlag der EDSA liegt bis 27. Juni zur Begutachtung auf. Änderungen sind also noch möglich. Danach sind die Vorschriften für die nationalen Datenschutzbehörden verbindlich. (japf, 18.5.2022)