tostphoto - Fotolia

DSGVO: Was Sie über Bußgelder und Sanktionen wissen sollten

Viele Unternehmen fürchten bei der DSGVO die Bußgelder, die bei Datenschutz-Verletzung drohen. Leitlinien der Aufsichtsbehörden nennen erste Details zu den Sanktionen.

Fragt man nach den Gründen, warum die Datenschutz-Grundverordnung (DSGVO/GDPR) so viel Aufmerksamkeit erlangt, hört man nicht etwa, dass die Bedeutung der Privatsphäre nun endlich klarer geworden sei, sondern es geht um Sanktionen und Bußgelder, die drohen.

Viele Presseberichte nennen Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Tatsächlich nennt die DSGVO auch diese mögliche Höhe für Sanktionen. Doch sie besagt noch mehr.

Es kommt auf die genaue Datenschutzverletzung an

Sieht man sich die relevanten Artikel 83 und 84 der Datenschutz-Grundverordnung an, findet man zum Beispiel auch Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Nach Artikel 83 Absatz 4 der Datenschutz-Grundverordnung gehören hier Verstöße gegen Artikel 32 (Sicherheit der Verarbeitung) dazu.

Auch diese Geldbuße ist enorm, und es geht auch nicht darum, die drohenden Sanktionen bei Datenschutzverletzungen klein zu reden, sie sind nicht gering, sondern enorm, ohne Zweifel. Vielmehr sollte es Unternehmen darum gehen, zu verstehen, was eine Datenschutzverletzung genau ist, denn hier gibt es Unterschiede, wie man an den verschiedenen Bußgeldern sehen kann.

Nicht jede Datenschutzverletzung ist eine Datenpanne

Was man insbesondere nicht denken sollte, ist, dass 20 Millionen EUR Bußgeld drohen, wenn es zu einer Datenpanne kommt, auch wenn genau dies häufig geschrieben wird. Vielmehr ist es so, dass man sich die Verletzung des Datenschutzes genau ansehen wird, um die Höhe des Bußgeldes festzulegen.

Auch als Unternehmen sollte man sich die möglichen Datenschutzverletzungen genau ansehen, dann stellt man fest: Eine Datenschutzverletzung nach GDPR/DSGVO ist nicht automatisch eine Datenpanne, sondern vielmehr eine Verletzung der Vorgaben der Datenschutz-Grundverordnung. Fast jeder Fall, in dem eine Vorgabe der DSGVO nicht eingehalten wird, kann als Datenschutzverletzung gewertet werden.

Die möglichen Sanktionen richten sich nun nach der Art der Verletzung und der Maßnahmen, die man getroffenen hat, die Verletzung zu vermeiden und um die Auswirkungen zu mindern. Unter anderem werden die Aufsichtsbehörden folgende Punkte genauer ansehen, wenn eine Datenschutzverletzung vermutet wird:

Der Grundsatz lautet: Bußgelder müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Dann geht es um die genauen Umstände, um:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
  • Einhaltung der früher bereits für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren und
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Es zeigt sich: Es lohnt sich in jedem Fall, Maßnahmen der Datensicherheit zu ergreifen und Zertifizierungen und Verhaltensregeln als Maßstab zu verwenden. Ebenso lohnt es sich auch, selbst die Datenschutzverletzung zu melden und so viel wie möglich gegen die Folgen zu unternehmen.

Gegenwärtig arbeiten die Aufsichtsbehörden für den Datenschutz in der sogenannten „Artikel 29 Gruppe“ an Leitlinien (Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253), wie Bußgelder festgelegt werden sollen. Hier werden bald weitere Informationen folgen.

Bußgelder sind nicht alles – Schadenersatz und Haftung

Eines sollte in der Diskussion um drohende Bußgelder auch nicht vergessen werden: Es gibt auch die Haftung und das Recht auf Schadenersatz nach Artikel 82 DSGVO. Dort wird ausgesagt:

  • Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
  • Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

Es wird sich zeigen, welche finanziellen Folgen die Haftung und der Schadenersatz im Fall einer Datenschutzverletzung für den Verantwortlichen für die Datenschutzverletzung haben werden. Diese Folgen sollten nicht unterschätzt werden. Es geht also nicht nur um die drohenden Bußgelder.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook

Nächste Schritte

Der Countdown für die EU-Datenschutz-Grundverordnung läuft

EU-DSGVO: Rechtsunsicherheit und unklarer Umsetzungsaufwand

EU-Datenschutz-Grundverordnung: Pflichten gegenüber der Aufsichtsbehörde

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Data-Governance

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close