Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Personal
Steuern
Finance
Immobilien
Controlling
Themen
Öffentlicher Dienst
Recht
Arbeitsschutz
Sozialwesen
Sustainability
Haufe.de
Shop
Service & Support
Newsletter
Kontakt & Feedback
Login
Personal Steuern Finance Immobilien Controlling Öffentlicher Dienst Recht Arbeitsschutz Sozialwesen
Immobilien
Controlling
Öffentlicher Dienst
Recht
Arbeitsschutz
Sozialwesen
Sustainability
Themen

Bußgelder und Schadensersatzansprüche aufgrund von Daten ... / 3.1.2 Bußgeldzumessung

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.
Anna-Lena Glander, Julian Rosenfeld

Die Höhe eines etwaigen Bußgeldes wegen Datenschutzverstößen richtet sich nach Art. 83 DSGVO. Je nach Verstoß kann ein Bußgeld bis zu 10 Mio. EUR oder bis zu 2 % des weltweiten Jahresumsatzes (je nachdem, welcher der Beträge höher ist) oder sogar bis zu 20 Mio. EUR oder bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres des Unternehmens (je nachdem, welcher der Beträge höher ist) betragen.

Der EuGH hat sich in o. g. Entscheidung[1] ein Stück weit überraschend auch zum Begriff des "Unternehmens" im Sinne von Art. 83 DSGVO verhalten. Der EuGH entschied diesbezüglich, dass für die Bemessung der Geldbuße bei Konzernunternehmen der Konzernumsatz und nicht der Umsatz der einzelnen Gesellschaft maßgeblich sei (Rn. 59). Hintergrund dieser Entscheidung war die Vorschrift des Art. 83 DSGVO, nach der sich die Höhe des Bußgeldes "im Fall eines Unternehmens" nach dessen Jahresumsatz bemisst. Diesbezüglich war es zuvor rege umstritten gewesen, ob mit diesem Begriff des "Unternehmens" in Art. 83 DSGVO die einzelne juristische Person (innerhalb eines Konzerns) gemeint ist oder ob der wirtschaftliche Unternehmensbegriff gemäß Art. 101, 102 AEUV heranzuziehen ist, der auf die jeweilige Unternehmensgruppe abstellt. Dies entschied der EuGH mithin zugunsten der letztgenannten Auffassung. Der EuGH betonte gleichzeitig auch, dass der wirtschaftliche Unternehmensbegriff nur im Rahmen der Geldbußenverhängung relevant sei.

In Bezug auf die Zumessung des konkreten Bußgeldes im Einzelfall führt Art. 83 Abs. 2 S. 2 DSGVO einige Kriterien auf, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Fall "gebührend" zu berücksichtigen sind. Relevant sind danach, insbesondere tatbezogene Kriterien, wie

  • Art, Schwere und Dauer des Verstoßes,
  • die Zahl der von der Verarbeitung betroffenen Personen,
  • das Ausmaß des Schadens,
  • die Kategorie der betroffenen personenbezogenen Daten,
  • etwaige Schadensbegrenzungsversuche des Unternehmens,
  • der Grad der Verantwortlichkeit und
  • die Kooperation mit den Datenschutzbehörden.

Leitlinien des Europäischen Datenschutzausschusses ("EDSA")

Nachdem bereits die deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern ("DSK") im September 2019 ein Bußgeldkonzept zur Bemessung von Bußgeldern, das zu mehr Sicherheit bei der Bußgeldbemessung führen sollte, vorgelegt hatte, folgte der EDSA im Jahr 2022 mit neuen europäischen Leitlinien zur Bußgeldbemessung. Diese bauen auf alten Leitlinien des EDSA aus dem Jahr 2018 auf und ergänzen diese. Die Leitlinien folgen einem detaillierten Fünfstufenplan, mithilfe dessen die europäischen Datenschutzbehörden Bußgelder einheitlich bemessen und beziffern können sollen. Auf Grundlage dieser Leitlinien sollen die unterschiedlich intensiven Aktivitäten der nationalen Datenschutzbehörden der Mitgliedstaaten vereinheitlicht und transparenter gestaltet werden. Der EDSA betont in diesem Zusammenhang allerdings, dass stets eine Bewertung sämtlicher Umstände des Einzelfalls unabdingbar ist.

Die Leitlinien sehen für die Bemessung eines Bußgelds die nachfolgenden 5 Stufen zur Ermittlung der Bußgelder vor:

  1. Zunächst ist die Anzahl der tatsächlichen Datenverarbeitung(en) zu ermitteln und die (Anzahl der) Verstöße anhand von Art. 83 Abs. 3 DSGVO zu ermitteln und zu klassifizieren.
  2. Sodann ist die Ausgangshöhe der Geldbuße, sog. Starting Point (Art. 83 Abs. 4 bis Abs. 6 DSGVO), und die Schwere des Verstoßes unter Berücksichtigung des vorangegangenen Jahresumsatzes des Unternehmens zu bestimmen. Die Ausgangshöhe bemisst sich nach den folgenden Kriterien: der Einordnung der Tat anhand der verletzten Norm, der Schwere der konkreten Tat und anhand des Unternehmensumsatzes. Die Ausgangshöhe soll bei leichten Verstößen zwischen 0 % und 10 %, bei mittleren Verstößen zwischen 10 % und 20 % und bei schweren Verstößen zwischen 20 % bis 100 % des Maximalrahmens der jeweiligen Geldbußen liegen. Abhängig vom Umsatz des Unternehmens und der Schwere der Verletzung ist sodann eine weitere Anpassung des Grundbetrags durch die Aufsichtsbehörden möglich. Die Leitlinien enthalten hierzu Umsatzschwellen, bei denen jeweils eine prozentuale Anpassung des Grundbetrags von den Aufsichtsbehörden in Erwägung gezogen werden kann.
  3. Weiterhin sind mildernde oder erschwerende Umstände des Einzelfalls heranzuziehen und eine entsprechende Erhöhung oder Herabsetzung der Höhe der Geldbuße vorzunehmen.
  4. Sodann sind die relevanten Höchstbeträge für den oder die in Rede stehenden Verstoß/Verstöße zu ermitteln.
  5. Zuletzt ist zu prüfen, ob die sich aus den Schritten 1-4- errechnete Geldbuße wirksam, abschreckend und verhältnismäßig i. S. d. Art. 83 Abs. 1 DSGVO ist. Andernfalls sind entsprechende Anpassungen der ermittelten Höhe der Geldbuße vorzunehmen.
[1] EuGH, Urteil v. 5.12.2023, C-807/21

Dieser Inhalt ist unter anderem im Haufe Personal Office Platin enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Betriebsbedingte Kündigung: Sozialauswahl / 1.4 Auswahlschemata (z. B. Punktesysteme)
    4.340
  • TVöD-V / § 29 Arbeitsbefreiung
    4.266
  • TVöD-B / § 34 Kündigung des Arbeitsverhältnisses
    3.863
  • Praxis-Beispiele: GmbH-Geschäftsführer / 1 Zuschuss zur privaten Krankenversicherung
    2.893
  • Urlaub: Urlaubsentgelt und Urlaubsgeld / 1.5 Berechnungsbeispiele
    2.872
  • Pauschale Kirchensteuer
    2.843
  • Pauschalbesteuerung von Sachzuwendungen nach § 37b EStG
    2.791
  • Betriebsveranstaltung / 4.6 Kosten für externe Personen
    2.548
  • Fahrtkostenzuschuss
    2.522
  • Praxis-Beispiele: Dienstwagen, 1-%-Regelung
    2.427
  • Jubiläumszuwendung
    2.399
  • Abfindungen: Lohnsteuer und Beiträge / Sozialversicherung
    2.227
  • Lohnabrechnung im Baugewerbe / 1.3 Lohn (§ 5 BRTV)
    2.166
  • Praxis-Beispiele: Pauschalierte Lohnsteuer
    2.073
  • TVöD-V / § 34 Kündigung des Arbeitsverhältnisses
    2.001
  • Erholungsbeihilfen
    1.951
  • Befristeter Arbeitsvertrag: Befristung mit Sachgrund
    1.927
  • Urlaubsabgeltung
    1.846
  • Sonn-, Feiertags- und Nachtzuschläge im Krankheitsfall, an Feiertagen und bei Urlaub
    1.827
  • Fitnessstudio
    1.816
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Personal
Datenschutz-Grundverordnung: DSGVO: Aufsichtsbehörden und Sanktionen
DSGVO_Richterhammer_Paragraphenzeichen_Binär Code
Bild: pixabay.com

Bei Nichteinhaltung der gesetzlichen Vorgaben der DSGVO müssen Verantwortliche mit erheblichen Sanktionen rechnen. 
DSGVO: 900.000 EUR Bußgeld, weil Daten nicht gelöscht wurden
Lupe ueber Datenschutz
Bild: MEV-Verlag, Germany

Ein Hamburger Dienstleister aus der Forderungsmanagement-Branche hat Datensätze mit personenbezogenen Daten jahrelang ohne Rechtsgrundlage aufbewahrt, obwohl die Löschfristen abgelaufen waren. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat diese Ordnungswidrigkeit mit einem Bußgeld in Höhe von 900.000 EUR geahndet.
DSGVO: Hohe Bußgelder für offene E-Mail-Verteiler
Mehrere @-Zeichen auf abstraktem Hintergrund
Bild: Corbis

Ein lässiger Umgang mit E-Mail-Adressen kann teuer werden: Immer wieder werden hohe Bußgelder verhängt, weil personenbezogene E-Mail-Adressen in einem offenen Verteiler an zahlreiche Adressaten verschickt werden. Da Bußgelder nach der DSGVO wirksam, abschreckend und verhältnismäßig sein müssen, dürfen auch Privatpersonen bei Verstößen nicht mit Milde rechnen.
Jetzt an Umfrage teilnehmen: Die neue KI-Studie
HRA_KI-Studie
Bild: Haufe Online Redaktion

Nehmen Sie jetzt an unserer neuen KI-Studie zum Thema „Einsatz von Chatbots in HR“ teil. Die Umfrage dauert nur 5 Minuten. Als Dankeschön erhalten Sie von uns das E-Book „Künstliche Intelligenz“ kostenlos zum Download.

Schwarz/Pahlke/Keß, AO § 384a Verstöße nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679
Schwarz/Pahlke/Keß, AO § 384a Verstöße nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679

1 Grundlagen 1.1 Allgemeines  Rz. 1 In den letzten Jahrzehnten wurden mit dem Ziel des Rechtsgüterschutzes zahlreiche Ge- und Verbotsvorschriften erlassen und das Ordnungswidrigkeitenrecht wurde auf alle Sachgebiete ausgeweitet, so dass es zu einem ...

4 Wochen testen
Newsletter Personal
Bild: Haufe Online Redaktion
Newsletter Personalmagazin – neues lernen

Jede Woche Inspiration für das Corporate Learning. Abonnieren Sie unseren kostenlosen Newsletter! Unsere Themen:  

  • Personal- und Organisationsentwicklung
  • Training, Coaching und Mitarbeiterführung
  • Digitalisierung und Lerntechnologien
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Personal Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe Onlinetraining
Haufe HR Services
Haufe Digitale Personalakte
Haufe HR Chatbot
Haufe Akademie
Haufe Semigator
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Compliance
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Personal Shop
Personal Software
Arbeits- & Sozialrecht Lösungen
Lohn & Gehalt Produkte
Personalmanagement Lösungen
Alle Personal Produkte
Haufe Shop Buchwelt
 

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren