Am 25. Mai 2018 wurde nach einem zweijährigen Umsetzungszeitraum die neue Datenschutzgrundverordnung wirksam. Und damit auch ihre Sanktionen, die sich, besonders verglichen mit dem alten Bundesdatenschutzgesetz, gewaschen haben. Wir klären auf, welche Bußgelder Sie bei Verstößen erwarten können und wie Sie diese verhindern.
Dieser Artikel könnte Sie auch interessieren:
Die DSGVO hält eine ganze Reihe an Neuerungen in Sachen Datenschutz und Datensicherheit bereit. Im Zentrum steht dabei die Stärkung der Betroffenenrechte und damit die Prämisse, dass jeder EU-Bürger selbst über die Freigabe und Verwendung seiner persönlichen Daten bestimmen darf. Um die Umsetzung der neuen Regelungen durch datenverarbeitende Unternehmen durchzusetzen, hat die DSGVO die Datenschutzaufsichtsbehörden mit angepassten Befugnissen und Sanktionsmöglichkeiten ausgestattet.
Gegen wen können Sanktionen verhängt werden?
Mit Sanktionen haben bei Verstößen gegen die DSGVO all diejenigen Unternehmen zu rechnen, die ihren Sitz in der EU haben oder Daten von in der EU lebenden Personen speichern und verarbeiten. Neu ist, dass auch sogenannte Auftragsverarbeiter bei Regelbrüchen belangt werden können, also solche Unternehmen, die Daten im Auftrag eines anderen Unternehmens verarbeiten.
Welche Möglichkeiten haben Aufsichtsbehörden?
Für Aufsichtsbehörden hält die neue Verordnung sowohl einen umfangreichen Maßnahmenkatalog von Befugnissen sowie die Möglichkeit der Verhängung deutlich angestiegener Bußgelder bereit. Die Befugnisse sind in Artikel 58 DSGVO aufgelistet und schließen Untersuchungs- und Abhilfebefugnisse sowie Genehmigungsbefugnisse und sogenannte beratende Befugnisse mit ein. Beispiele sind die Forderung aller zur Durchführung von Datenschutzüberprüfungen benötigten Informationen, das Aussprechen von Verwarnungen bei voraussichtlichen Gesetzesverstößen oder auch das Verhängen von Verarbeitungsverboten.
Welche Bußgelder drohen bei Verstößen gegen die DSGVO?
Zusätzlich zu oder anstelle der genannten Befugnisse können Aufsichtsbehörden bei Verstößen gegen die DSGVO hohe Geldstrafen verhängen. Diese reichen bis zu einer Obergrenze von 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens, je nachdem welcher Wert höher ist. Artikel 84 DSGVO gibt lediglich vor, dass die Sanktionen „wirksam, verhältnismäßig und abschreckend” sein müssen, über die genauen Rechtsvorschriften entscheiden die Mitgliedstaaten jedoch selbst.
Zur Bemessung der Bußgelder werden die in Artikel 83 DSGVO genannten Kriterien herangezogen:
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
Artikel 83 Abs. 4 und 5 DSGVO legen den Bußgeldrahmen bei verschiedenen Verstößen gegen die Verordnung fest. Verstöße gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter, die Pflichten der Zertifizierungsstelle und die der Überwachungsstelle werden mit Geldbußen bis 10 Millionen Euro oder 2% des Jahresumsatzes des betroffenen Unternehmens bestraft.
Höhere Bußgelder bis zur oben genannten Maximalstrafe von 20 Millionen Euro oder 4% des Jahresumsatzes fallen auf Verstöße gegen Grundsätze für die Verarbeitung, die Rechte der betroffenen Person, die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland, die Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten und die Nichtbefolgung von Anweisungen der Aufsichtsbehörde an.
Wie können Sie vorsorgen?
Der erste Schritt sollte der Abschluss einer umfassenden Implementierung der neuen Regelungen der DSGVO in Ihre Unternehmensprozesse sein. Kommen Ihnen dabei noch letzte Fragen, finden Sie die Antwort sicherlich in unserer Checkliste oder in einem unserer zahlreichen Artikel zum Thema DSGVO und Inbound Marketing.
Außerdem kann eine datenschutzrechtliche Beratung letzte Schwachstellen in Ihrem System beheben, so dass Sie optimal auf die DSGVO vorbereitet sind. Regelmäßige Compliance-Audits und eine sorgfältige Dokumentation der Datenverarbeitungsprozesse sorgen schließlich dafür, dass Sie auch zukünftig keine Sanktionen zu befürchten haben.
Fazit
Die Summen der drohenden Bußgelder sprechen für sich. Sofern die Implementierung der DSGVO in Ihrem Unternehmen seit dem 25. Mai 2018 durchgesetzt ist, können die beschriebenen Sanktionen höchstens Ihre Konkurrenz treffen!
»DSGVO umsetzen: Diese HubSpot Features helfen dabei!
Rechtlicher Hinweis:
Diese rechtlichen Informationen sind nicht zu verwechseln mit einer rechtlichen Beratung, bei der ein Rechtsanwalt das geltende Recht auf Ihre spezifischen Umstände anwendet. Wir weisen Sie deshalb darauf hin, dass Sie bei Beratungsbedarf über Ihre Auslegung dieser Informationen oder über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen sollten. Sie dürfen sich demnach auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts.
Foto:
© ESB Professional/Shutterstock.com