
Brüssel, 16. Mai - Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien für die Berechnung von Geldbußen angenommen, mit denen die bestehende Verfahrensweise der Datenschutzbehörden harmonisiert wird. Die Leitlinien enthalten auch einheitliche „Ausgangspunkte“ für die Berechnung einer Geldbuße. Dabei werden drei Aspekte berücksichtigt: die Art (Kategorie) des Verstoßes, die Schwere des Verstoßes und der Umsatz des betreffenden Unternehmens.
Dazu sagte die EDSA-Vorsitzende Andrea Jelinek: „Ab sofort verfahren im EWR alle Datenschutzbehörden bei der Berechnung von Geldbußen nach derselben Methodik. Dadurch wird die weitere Harmonisierung vorangetrieben und die Transparenz des Vorgehens der Datenschutzbehörden bei der Verhängung von Geldbußen erhöht. Die individuellen Umstände eines Falles müssen immer ein entscheidender Faktor sein, und die Datenschutzbehörden spielen eine wichtige Rolle bei der Sicherstellung, dass jede Geldbuße wirksam, verhältnismäßig und abschreckend ist.“
Die Leitlinien sehen ein aus fünf Schritten bestehendes Berechnungsverfahren vor: Als erstes müssen die Datenschutzbehörden feststellen, ob der betreffende Fall eine oder mehrere sanktionierbare Handlungen umfasst und ob diese zu einem oder mehreren Verstößen geführt hat bzw. haben. Dabei geht es darum, zu klären, ob sämtliche Verstöße mit einer Geldbuße geahndet werden können oder nur einige von ihnen.
Als zweites müssen die Datenschutzbehörden für die Berechnung der Geldbuße, für die der EDSA eine harmonisierte Methode vorsieht, einen Ausgangspunkt zugrunde legen.
Drittens müssen die Datenschutzbehörden erschwerende oder mildernde Faktoren prüfen, durch die sich der Betrag der Geldbuße erhöhen oder verringern kann; hierfür sieht der EDSA eine einheitliche Auslegung vor.
Der vierte Schritt besteht in der Bestimmung der gesetzlichen Höchstbeträge von Geldbußen gemäß Artikel 83 Absätze 4 bis 6 DSGVO und in der Sicherstellung, dass diese Beträge nicht überschritten werden.
Als fünften und letzten Schritt müssen die Datenschutzbehörden prüfen, ob der berechnete Endbetrag den Anforderungen in Bezug auf die Wirksamkeit, die abschreckende Wirkung und die Verhältnismäßigkeit genügt oder weitere Anpassungen des Betrags erforderlich sind.
Diese Leitlinien sind eine wichtige Ergänzung des Rahmens, den der EDSA gegenwärtig aufbaut, um eine wirksamere Zusammenarbeit unter den Datenschutzbehörden in grenzüberschreitenden Fällen zu ermöglichen, und stellen eine strategische Priorität des EDSA dar.
Zu diesen Leitlinien wird es eine sechswöchige öffentliche Konsultation geben. Im Anschluss an die öffentliche Konsultation wird die endgültige Fassung der Leitlinien angenommen, in der die Rückmeldungen der Interessenträger berücksichtigt werden und eine Referenztabelle mit einer Reihe von Ausgangspunkten für die Berechnung einer Geldbuße enthalten sein wird, welche die Schwere eines Verstoßes mit dem Umsatz eines Unternehmens in Beziehung setzt.
Der EDSA hat zudem Leitlinien für den Einsatz von Gesichtserkennungstechnologien im Strafverfolgungsbereich angenommen. Die Leitlinien bieten den Gesetzgebern auf EU- und nationaler Ebene sowie den Strafverfolgungsbehörden eine Orientierungshilfe bei der Einführung und Nutzung von Gesichtserkennungstechnologien.
Dazu sagte die EDSA-Vorsitzende Andrea Jelinek: „Moderne Technologien bieten den Strafverfolgungsbehörden zwar Vorteile wie die rasche Identifizierung von Personen, die schwerer Straftaten verdächtigt werden, doch sie müssen auch den Anforderungen der Notwendigkeit und der Verhältnismäßigkeit genügen. Die Gesichtserkennungstechnologie ist untrennbar mit der Verarbeitung von personenbezogenen Daten (und mithin auch von biometrischen Daten) verbunden und birgt ernsthafte Risiken für die Rechte und Freiheiten des Einzelnen.“
Der EDSA möchte betonen, dass Instrumente zur Gesichtserkennung nur unter strikter Einhaltung der Richtlinie zum Datenschutz bei der Strafverfolgung verwendet werden dürfen. Wie in der Charta der Grundrechte vorgesehen, sollten Instrumente dieser Art zudem nur eingesetzt werden, wenn dies notwendig und verhältnismäßig ist.
Der EDSA bekräftigt in seinen einschlägigen Leitlinien seine Forderung nach einem Verbot des Einsatzes von Gesichtserkennungstechnologien in bestimmten Fällen, die er bereits in der gemeinsamen Stellungnahme des EDSA und des EDSB zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) aufgestellt hat. Konkret fordert der EDSA, Folgendes zu verbieten:
- die biometrische Fernidentifizierung natürlicher Personen in öffentlich zugänglichen Räumen,
- Gesichtserkennungssysteme, die natürliche Personen anhand biometrischer Merkmale bestimmten Kategorien zuordnen, etwa nach ethnischer Herkunft, Geschlecht, politischer oder sexueller Orientierung oder nach sonstigen verbotenen Diskriminierungsgründen,
- Gesichtserkennungs- oder ähnliche Technologien zur Ermittlung des emotionalen Zustands natürlicher Personen,
- jede Verarbeitung personenbezogener Daten im Strafverfolgungsbereich, die sich auf eine Datenbank stützt, welche durch die massenhafte und wahllose Erhebung personenbezogener Daten gespeist wird, beispielsweise durch Abschürfen („Scraping“) von online zugänglichen Fotos und Gesichtsbildern.
Zu diesen Leitlinien wird es eine sechswöchige öffentliche Konsultation geben.
EDPB_Press Release_2022_07
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.