Die Bemessung von Bußgeldern folgt einem strukturierten Verfahren, das auf Art. 83 Abs. 2 DSGVO und den EDSA-Leitlinien 04/2022 (Guidelines on the Calculation of Administrative Fines) basiert.
Die 11 Zumessungskriterien des Art. 83 Abs. 2 DSGVO:
a) Art, Schwere und Dauer des Verstoßes, Zahl der Betroffenen und Ausmass des Schadens b) Vorsatz oder Fahrläßigkeit - vorsätzliche Verstöße werden deutlich strenger geahndet c) Vom Verantwortlichen ergriffene Schadenminderungsmassnahmen d) Grad der Verantwortung unter Berücksichtigung der technischen und organisatorischen Maßnahmen (TOM) e) Frühere einschlägige Verstöße (Wiederholungstäter) f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde g) Betroffene Datenkategorien (sensible Daten wiegen schwerer) h) Art und Weise, wie die Aufsichtsbehörde von dem Verstoß Kenntnis erlangt hat (Selbstanzeige vs. Fremdaufdeckung) i) Einhaltung früherer Maßnahmen der Aufsichtsbehörde j) Einhaltung genehmigter Verhaltensregeln oder Zertifizierungen k) Sonstige erschwerende oder mildernde Umstände (z.B. erzielte finanzielle Vorteile)
Das 5-Schritte-Modell der EDSA-Leitlinien 04/2022:
- Verarbeitungsvorgänge identifizieren und bewerten, ob ein oder mehrere Verstöße vorliegen
- Ausgangsbetrag ermitteln anhand des Umsatzes des Unternehmens (Grundbusse)
- Erschwerend oder mildernd anpassen anhand der Zumessungskriterien
- Höchstgrenze des Art. 83 Abs. 4-6 prüfen
- Wirksamkeit, Verhältnismäßigkeit und Abschreckung als finale Prüfung
Praxistipp: Kooperationsbereitschaft, schnelle Schadenminderung, Investitionen in Datenschutzmassnahmen und eine offene Kommunikation mit der Aufsichtsbehörde können die Bußgeldhöhe erheblich reduzieren.