Schlagwort: Bußgelder
20. Mai 2022
Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien zur Berechnung von Bußgeldern veröffentlicht. Aktuell befinden sich diese noch in der „Public Consultation“-Phase. Ziel sei es, die Methodik bei der Berechnung der Bußgelder zu vereinheitlichen.
Die Leitlinien richten sich an die Aufsichtsbehörden. Diese sollen demnach die Bußgelder künftig über eine standardisierte, fünfstufige Methodik berechnen. Sie ergänzen somit die Leitlinien für die Anwendung und Festsetzung von Bußgeldern (2016/679 (WP253)), die sich auf die Umstände konzentrieren, unter denen eine Geldbuße überhaupt verhängt werden kann.
Grundsätzlich liegt die Berechnung der Höhe der Geldbuße im Ermessen der Aufsichtsbehörde, vorbehaltlich der Vorschriften der Datenschutz-Grundverordnung (DSGVO). In diesem Zusammenhang schreibt die DSGVO vor, dass die Höhe der Geldbuße wirksam, verhältnismäßig und abschreckend sein muss (Art. 83 Abs. 1 DSGVO). Zusätzlich müssen die Aufsichtsbehörden bei der Festsetzung der Höhe der Geldbuße eine Liste von Umständen berücksichtigen, die sich auf bestimmte Merkmale des Verstoßes (die Schwere) oder des Verursachers bezieht (Art. 83 Abs. 2 DSGVO).
Einstufung der Schwere des Verstoßes
Der EDSA erstellte eine aus fünf Schritten bestehende Methodik für die Berechnung von Bußgeldern für Verstöße gegen die DSGVO. Grundlage für die Höhe der Strafen ist laut der Verordnung der Umsatz des betroffenen Unternehmens.
- Zunächst müssten die relevanten Verarbeitungsprozesse ermittelt und die Schwere des Verstoßes bewertet werden (Kapitel 3).
- Anschließend müsste der Ausgangspunkt für die weitere Berechnung der Höhe der Geldbuße festgelegt werden (Kapitel 4). Dies erfolge durch die Einstufung des Verstoßes, gemessen an den vorliegenden DSGVO-Verstößen, der Schwere des Verstoßes im Lichte der Umstände des Falles sowie an der Bewertung des Umsatzes des Unternehmens.
- Der dritte Schritt beschreibt die Bewertung der belastenden und mildernden Umstände, die sich auf das frühere oder gegenwärtige Verhalten des für die Verarbeitung Verantwortlichen/Auftragsverarbeiters beziehen sowie die Erhöhung oder Herabsetzung der Geldbuße (Kapitel 5).
- Schritt vier erläutert dann die Ermittlung der einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verstöße. Die in den vorhergehenden oder nachfolgenden Schritten angewandten Erhöhungen dürfen diesen Höchstbetrag nicht überschreiten (Kapitel 6).
- Im letzten Schritt sei zu prüfen, ob der berechnete Endbetrag die Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt. Die Geldbuße könne dann noch entsprechend angepasst werden (Kapitel 7), jedoch ohne den jeweiligen gesetzlichen Höchstbetrag zu überschreiten.
Hohe Geldbußen möglich
Ausschlaggebend ist somit der Ausgangsbetrag. Dieser bildet den Maßstab für die Berechnung. Die Verstöße lassen sich demnach in drei Kategorien einordnen.
- Verstöße von geringer Schwere: Ausgangsbetrag zwischen 0 und 10 Prozent des geltenden gesetzlichen Höchstbetrags
- Verstöße mittlerer Schwere: Ausgangsbetrag zwischen 10 und 20 Prozent des geltenden gesetzlichen Höchstbetrags
- Schwerwiegende Verstöße: Ausgangsbetrag zwischen 20 und 100 Prozent des geltenden gesetzlichen Höchstbetrags
So könnte ein mittelschwerer Verstoß theoretisch schon früh zu sehr empfindlichen Geldbußen führen. Bei allen vorgenannten Schritten sei jedoch zu berücksichtigen, dass die Berechnung einer Geldbuße keine rein mathematische Angelegenheit darstelle. Vielmehr seien die Umstände des konkreten Falles ausschlaggebend für die endgültige Höhe. In den Guidelines befinden sich auch einige Beispiele mit Fällen zur Bußgeldbemessung.
Darüber hinaus werde man die Leitlinien und die darin vorgeschlagene Methodik fortlaufend überprüfen.
22. Oktober 2021
Hintergrund
Mit Einführung der DSGVO am 25.Mai 2018 erhielten Verbraucher besondere Rechte. Unter anderem sollte sichergestellt werden, dass große Konzerne die (sensiblen) personenbezogenen Daten ihrer Nutzer nicht gegen deren Willen sammeln und verarbeiten.
Von der Verarbeitung personenbezogener Daten lebt jedoch das Geschäftsmodell von Social Media Anbietern wie Facebook, denn durch die Auswertung des Nutzerverhaltens kann Werbung auf die jeweiligen Nutzer- Interessen genau zugeschnitten werden.
Facebook wendet bislang folgenden Trick an, um die personenbezogenen Nutzerdaten zu eigenen Zwecken verarbeiten zu können und damit die Voraussetzungen der DSGVO zu umgehen: Die Einwilligung wurde vollständig in die AGB verschoben, denen potenzielle Nutzer zustimmen müssen, um Facebook überhaupt benutzen zu können. Auf eine separate Einwilligung verzichtete Facebook. So werden strenge Anforderungen der DSGVO, wie die freiwillige Einwilligung in die Verarbeitung personenbezogener Daten und das jederzeitige Widerspruchsrecht hinsichtlich dessen, umgangen. Die Betroffenenrechte der DSGVO sind so praktisch ausgehebelt. Facebooks rechtliche Argumentation ist simpel: Wird die Vereinbarung als “Vertrag” gemäß Art. 6 Abs.1 lit.b DSGVO statt als “Einwilligung” gemäß Art.6 Abs.1 lit.a DSGVO ausgelegt, sollen die strengen Vorschriften der DSGVO für den Konzern nicht mehr gelten.
Dem österreichischen Juristen und Datenschutz-Aktivisten Max Schrems entgingen Facebooks Änderungen nicht. Er reichte damals Beschwerde bei der zuständigen Aufsichtsbehörde in Irland ein. Die hat nun, mehr als drei Jahre später, eine vorläufige Entscheidung getroffen. Es ist ein Bußgeld in Höhe von 28 bis 36 Millionen Euro für Facebook vorgesehen. Allerdings soll Facebook weiterhin an seiner Art und Weise der Zustimmungspraxis festhalten dürfen. Kritisch wurde lediglich die Herangehensweise von Facebook angemerkt. So habe Facebook auf die Verschiebung der Einwilligung zur Datennutzung in die AGB nicht transparent hingewiesen. Dies ist sodann auch der Grund für das Bußgeld in Höhe von 28 bis 36 Millionen.
Aktuell
Letzte Woche schickte die irische Datenschutzbehörde ein Schreiben an NOYB, dessen Vorsitzender Max Schrems ist. In diesem Schreiben wird NOYB dazu aufgefordert, einen Entscheidungsentwurf unverzüglich von ihrer Website zu entfernen und von jeder weiteren oder sonstigen Veröffentlichung oder Weitergabe desselben abzusehen. Zuvor legte die irische Datenschutzbehörde den anderen europäischen Datenschutzbehörden einen “Entscheidungsentwurf“ bezüglich des juristischen Tricks, mit dem Facebook die DSGVO umgeht, vor. Diesen Entscheidungsentwurf hat NOYB sodann veröffentlicht. NOYB weist jede Aufforderung seitens der irischen Datenschutzbehörde ab, den Entwurf zu entfernen; gemäß Art. 80 DSGVO sieht sich NOYB in der Pflicht, mit den Behörden zusammenzuarbeiten und die Entwicklung der DSGVO zu verfolgen. Hierunter fallen auch Veröffentlichungen von Entscheidungen, die für die Öffentlichkeit von Bedeutung sind.
6. April 2021
Weil Booking.com einen Datenschutzvorfall zu spät gemeldet hat, hat die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) eine Strafe in Höhe von 475.000 Euro verhängt. Bereits 2019 konnten Hacker auf die Daten von über 4000 Kunden zugreifen, darunter auch Personalausweis- und Kreditkartendaten. Die Entscheidung zeigt, dass nicht nur die Verhinderung von Datenpannen höchste Priorität hat, sondern auch der konstruktive Umgang mit den Betroffenen und der Aufsichtsbehörde, wenn es doch einmal zur Datenpanne gekommen ist.
Über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten haben die Hacker Zugang zu den Daten bekommen. Dieser Zugang könnte durch “social-engineering”-Techniken (im negativen Kontext: das Ausnutzen einer Schwachstelle eines Menschen) oder Phishing erlangt worden sein. Daher sieht sich Booking.com nicht in der Verantwortung und stellt sich auf den Standpunkt, die Daten seien nicht über die eigene IT-Infrastruktur abgegriffen worden.
Die AP sieht hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das große Problem für Booking.com ist jedoch, dass sie die Datenpanne erst nach 22 Tagen den betroffenen Kunden und nach 25 Tagen der Aufsichtsbehörde gemeldet haben. Nach Artikel 33 Abs. 1 DSGVO muss eine entsprechende Meldung aber binnen 72 Stunden nach Bekanntwerden beim Verantwortlichen erfolgen. Booking.com arbeitet nun an einer Verbesserung seiner internen Prozesse.
31. Juli 2019
Der baden-württembergische Landesdatenschutzbeauftragte warnt in seiner gestrigen Pressemeldung eindringlich vor Datenpannen in Arztpraxen. Ganz besonders Verschlüsselungstrojaner sind die Quelle vieler Datenschutzverletzungen. Auch die Übermittlung von Patientenberichte oder Röntgenbilder an falsche Empfänger stellen ein großes Problem dar.
Es ist zwingend notwendig, dass eine Datensicherung, Verschlüsselung sowie die Schulung und Sensibilisierung der Mitarbeiter stattfindet. Hierzu erklärt der Landesbeauftragte, Dr. Stefan Brink: „Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird.”
Bislang hat die Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt. Seit dem Wirksamwerden der neuen EU-Datenschutzverordnung im Mai 2018 hat sich die Zahl der Datenpannen demzufolge verzehnfacht.
Die am häufigsten gemeldeten Datenschutzverletzungen: Postfehlversand, Hackingangriffe/Malware/Trojaner, E-Mail-Fehlversand, Diebstahl eines Datenträgers, Versendung einer E-Mail mit offenem Adressverteiler, Verlust eines Datenträgers und Fax-Fehlversand.
13. Mai 2019
Laut einem Bericht der Welt am Sonntag haben die Datenschutzaufsichtsbehörden der Länder seit Inkrafttreten der DSGVO im Mai 2018 in mindestens 75 Fällen Bußgelder gegen Unternehmen wegen des Verstoßes gegen datenschutzrechtliche Regelungen verhängt. Dabei soll die Summe der Bußgelder insgesamt 449.000 Euro betragen und sich auf Vorfälle in sechs Bundesländern beziehen.
Die Bußgelder gliedern sich wie folgt:
- Baden-Württemberg: 7 Fälle / 203.000 Euro
- Rheinland-Pfalz: 9 Fälle / 124.000 Euro
- Berlin: 18 Fälle / 105.600 Euro
- Hamburg: 2 Fälle / 25.000 Euro
- Nordrhein-Westfalen: 36 Fälle / 15.600 Euro
- Saarland: 3 Fälle / 590 Euro
An der Befragung der Welt am Sonntag nahmen 14 von 16 Bundesländer teil. Mecklenburg-Vorpommern und Thüringen machten keine Angaben.
Das mit 80.000 Euro höchste Bußgeld in einem einzelnen Fall hatte Baden-Württemberg verhängt.
11. April 2018
Nach Einschätzung der Landesdatenschutzbeauftragten können Datenschutzverstöße mangels Personal nicht ausreichend geahndet werden. Allen 16 Behörden mangelt es an genügend Personal um der Einhaltung des Datenschutzes gerecht zu werden. Laut einer Umfrage der Zeitung “Tagesspiegel” fehlen bundesweit dafür fast 100 Beschäftigte. «Ich bezweifle stark, dass wir mit der jetzigen Ausstattung die Instrumente der DSGVO vernünftig nutzen können», sagt Marit Hansen, Landesdatenschutzbeauftragte in Schleswig-Holstein.
Es besteht die Gefahr, dass die am 25. Mai 2018 in Kraft tretenden neuen Datenschutzvorschriften nicht hinreichend durchgesetzt werden können. Das massive Stellendefizit erschwert die Ahndung von Datenschutzverstößen. Es besteht auch keine Bereitschaft in der Politik dies auszugleichen. Auch Bundesdatenschutzbeauftragte Andrea Voßhoff hat bereits auf die Belastung der Aufsichtsbehörden aufmerksam gemacht.
Mit Einführung der europäischen Datenschutzgrundverordnung werden hohe Auflagen hinsichtlich Bußgeldern eingeführt. Zur Verhängung dieser Bußgelder ist jedoch ein funktionsfähiger Aufsichtsapparat notwendig.
8. September 2017
Den allermeisten Unternehmen dürfte dieser Einleitungssatz bekannt vorkommen: Bis zum 25.05.2018 sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzusetzen.
Der Studie Veritas 2017 GDPR Report zufolge sind viele (31%) Unternehmen der Meinung, die von der DSGVO normierten Pflichten bereits abzudecken. Als diese Unternehmen im Rahmen der Studie allerdings zur konkreten Umsetzung der Maßnahmen befragt wurden, trat häufig ein deutlich anderes Bild verbunden mit der Einsicht zutage, eine Compliance mit dem Regelwerk sei nun doch noch nicht erreicht. Nach Abzug dieser Fälle ist ein Ergebnis der Studie, dass letztlich nur 2% der Unternehmen tatsächlich auf die DSGVO vorbereitet sind.
Die befragten Unternehmen sehen bei sich unter anderem in den folgenden Bereichen akuten Nachholbedarf:
- Etablierung eines Prozesses zur Meldung von Datenverlusten innerhalb von 72 Stunden,
- Regelungen zur Löschung (jetzt auch “Recht auf Vergessenwerden”),
- Neue Rechtslage zur Auftragsdatenverarbeitung (künftig nur “Auftragsverarbeitung”).
Angesichts der respektablen Bußgelder der DSGVO bleibt es wohl weiterhin bei dem gebetsmühlenartigen Verweis auf die “Stunde Null”: Stellen Sie bis zum 25.05.2018 sicher, dass Sie auf die Anforderungen der DSGVO (tatsächlich) vorbereitet sind.