Was dürfen die Datenschutz-Aufsichtsbehörden? (DSK-Papier Nr. 2)

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

In diesem Kurzpapier wird die Rolle der Aufsichtsbehörde verdeutlicht. Welche Rechte und Pflichten die Aufsichtsbehörde hat und wie die Berechnung der Bußgelder aussieht, werden hier erläutert.

Untersuchungen und Abhilfemaßnahmen (Art. 58 DSGVO)

  • Aussprache von Verwarnungen ggü. Verantwortlichen/Auftragsverarbeitern, wenn geplante/aktuelle Datenverarbeitungen gegen die DSGVO verstoßen
  • Erlassung von Anweisungen, um die DSGVO im Unternehmen umzusetzen, den Betroffenenrechten nachzukommen und Betroffene bei Datenschutzverletzungen zu benachrichtigen
  • Erlass einer Anordnung, um die Datenübertragung in Drittländer zu unterbinden

Wer kann von den Maßnahmen der Aufsichtsbehörde betroffen sein?

  • Verantwortlicher (z.B. Geschäftsführer /-Inhaber)
  • Auftragsverarbeiter

Welchen Umfang haben die Untersuchungsbefugnisse?

  • Aufsichtsbehörde besitzt weitreichende Untersuchungsbefugnisse
  • Verantwortlicher und Auftragsverarbeiter können zur Mitwirkung verpflichtet werden
  • der Aufsichtsbehörde sind alle Informationen bereit zu stellen, um einen bestimmten Sachverhalt zu klären

Verhängung von Bußgeldern (Art. 83 DSGVO)

Wie hoch ist das Bußgeld nach der DSGVO

  • Rechtsgrundlage: Art. 83 DSGVO
  • 10.000.000 € bzw. 2 % des weltweiten Jahresumsatzes aus dem Vorjahr bzw.
  • 20.000.000 € bzw. 4 % des weltweiten Jahresumsatzes aus dem Vorjahr, bei bestimmten, besonders, schwerwiegenden Verstößen (z.B. Verstöße gegen Datenverarbeitungsgrundsätze/Betroffenenrechte, Verarbeitung ohne Rechtsgrundlage sowie Nichtbefolgung der der Anweisung

Wie wird das Bußgeld berechnet?

  • Über die Höhe des Bußgeld ist im Einzelfall zu entscheiden
  • Prüfung der Art, Schwere und der Dauer des Verstoßes
  • Welche Datenkategorien von dem Verstoß betroffen sind
  • Prüfung, ob vorangegangene Maßnahmen und die interne Organisation des Verantwortlichen eingehalten wurden
  • Art und Weise, wie der Verstoß der Behörde bekannt wurde
  • durch eine positive Zusammenarbeit kann sich das Bußgeld mindern
  • Berücksichtigung der TOMs und des Verantwortlichkeitsgrads des Verantwortlichen/Auftragsverarbeiter

Anmerkung der Datenbeschützerin

Seit Inkrafttreten der DSGVO wurden bereits zahlreiche Bußgelder in Europa und in Deutschland erlassen. Aufgrund dieser Bußgelder können Maßnahmen für die eigene Organisation und die eigenen Kunden abgeleitet werden.

Update September 2019: Dem Online-Magazin Juve liegen Unterlagen vor, wie die Aufsichtsbehörden die Bußgelder berechnen. Die Behörden haben sich auf eine einheitliche Berechnungsmethode geeinigt:

  • Bemessungsgrundlage Tagessatz: weltweiter Unternehmensumsatz : 365 Tage
  • Multiplikation je nach „Schweregrad“. Schweregrad = Dauer des Verstoß, Zahl der betroffenen Personen, Ausmaß des Schadens, Maßnahmen zur Schadenminderung, Zusammenarbeit mit Behörde
  • Erhöhung/Minderung je nach Verschuldensgrad: gering/unbewusste Fahrlässigkeit, Inkaufnahme/Kenntnis oder absichtliches Verschulden
  • Zuschlag bei wiederholten Datenschutzverstößen

Wie diese Berechnung jedoch dann in der Praxis aussieht, ist noch abzuwarten. Vorteil ist jedoch, dass aufgrund der gewählten Bemessungsgrundlage mehr Gerechtigkeit mit sich bringt.

DSK-Kurzpapier Nr. 2

Quelle

DKonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_2.pdf

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.