Schlagwort: Themenreihe datenschutzrechtliche Sanktionen
25. Oktober 2019
In unserem letzten Beitrag zu datenschutzrechtlichen Sanktionen stellen wir heute die Situation vor und nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) gegenüber. Hierdurch wird insbesondere deutlich, warum die DSGVO im Ergebnis derart große Wellen geschlagen hat.
Strafhöhe unter der Datenschutzrichtlinie
Insgesamt divergierte die potentielle Strafhöhe vor der DSGVO. So war in Österreich ein Bußgeld von lediglich 25.000 € möglich, wohingegen in Frankreich bis zu 150.000 € und in Spanien sogar Bußgelder von bis zu 600.000 € denkbar waren.
Im Vergleich dazu sah § 43 Abs. 3 BDSG a.F. eine Geldbuße in Höhe von maximal 300.000 € vor. Darüber hinausgehende Bußgelder setzten voraus, dass der Verantwortliche einen wirtschaftlichen Vorteil durch den Datenschutzverstoß erlangte.
Drastische Erhöhung unter der DSGVO
Im Vergleich dazu können Aufsichtsbehörden unter der DSGVO Geldbußen in Höhe von 20 000 000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes verhängen.
Die Aussicht auf Strafen in dieser Größenordnung führten vor allem bei Unternehmen zu einer Ablehnung gegen die Einführung der DSGVO.
Gut eineinhalb Jahre nach Einführung der DSGVO lässt sich allerdings festhalten, wie auch in den letzten Wochen im Rahmen dieser Themenreihe dargestellt, dass die erwarteten Millionen-Bußgelder bislang nahezu ausgeblieben sind.
Abschließende Worte
Im Rahmen dieser Themenreihe haben wir datenschutzrechtliche Sanktionen aus diversen Perspektiven dargestellt. Resümierend lässt sich sagen, dass dieser Themenbereich durch die DSGVO erheblich an Dynamik gewonnen hat. Allerdings sind Strafen bisweilen wenig bis gar nicht antizipierbar, was zu einer Unsicherheit führt, respektive führen könnte. Hier könnte der künftige “Bußgeldkatalog” helfen.
Abschließend möchten wir Sie noch einmal herzlich zum datenschutzticker.live am 30.10.2019 einladen. Im Rahmen dieser (kostenlosen) Veranstaltung wird es unter anderem eine Podiumsdiskussion geben. Diesebzüglich möchten wir Ihnen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
18. Oktober 2019
In den vergangenen Wochen haben wir Geldbußen sowohl durch deutsche Behörden als auch europaweit berichtet und diese gegenübergestellt. In dem Beitrag dieser Woche thematisieren wir die Höhe der jeweils ausgesprochenen Strafen.
Strafhöhe in Deutschland, Frankreich und dem Vereinigten Königreich
Wie in der vergangenen Woche bereits herausgearbeitet wurde, fällt die Strafhöhe in Deutschland, im Vergleich zu den drei wohl bekanntesten Sanktionen des CNIL gegen Google (€ 50 Millionen) und des ICO gegen Marriott International (€ 110 Millionen) bzw. British Airways (€ 204 Millionen), deutlich ab. Die höchste Strafe die in Deutschland verhangen wurde waren € 200.000. Daraus kann allerdings nicht der Schluss gezogen werden, dass deutsche Aufsichtsbehörden im Vergleich zu denen aus Frankreich und dem Vereinigten Königreich weniger streng wären. Bei der Verhängung von Strafen ist immer zu berücksichtigen, dass in Art. 83 DSGVO festgelegt wird, dass die Höhe der Geldbuße auf € 20 Millionen gedeckt ist oder im Fall eines Unternehmens auf bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Folglich muss die Strafhöhe bei Unternehmen immer ins Verhältnis zum gesamten weltweit erzielten Jahresumsatz gesetzt werden. Demensprechend ist es nur denklogisch, dass Strafen gegen weltweit agierende Konzerne erheblich höher sind. Dies resultiert bereits aus dem deutlich höheren Jahresumsatz im Vergleich zu Unternehmen kleinerer und mittlerer Größe.
Strafhöhe im Rest Europas
Dieser Schluss wird durch den Vergleich mit dem Rest Europas gestützt.
Auch die verhängten Strafen in den restlichen europäischen Ländern sind niedriger als in Frankreich und dem Vereinigten Königreich und eher auf dem Niveau der Strafen in Deutschland.
Abgesehen von den bereits angesprochenen Sanktionen liegt die höchste Sanktion für den Rest Europas bei € 2,6 Millionen. Diese wurde in Bulgarien gegen die nationale Finanzbehörde ausgesprochen, was insofern auffällig ist, dass bislang deutlich weniger Strafen gegen Behörden als gegen Unternehmen verhängt wurden. Die nächsthöchste Strafe (€ 644,780) wurde in Polen gegen ein Unternehmen verhängt. Abschließend wurden auch die der Höhe nach folgenden Geldbußen wurden gegen Unternehmen ausgesprochen.
Schlussfolgerung
Die Höhe der in Deutschland verhängten Strafen liegt europaweit im Mittelfeld. Die aufsehenerregenden Ausreißer nach oben sind dem hohen weltweiten Jahresumsatz des jeweiligen Unternehmens geschuldet und nicht der strikteren Anwendung der DSGVO in Frankreich und dem Vereinigten Königreich.
In der nächsten Woche endet die Themenreihe zu datenschutzrechtlichen Sanktionen mit einem Vergleich zwischen Sanktionen vor und nach der DSGVO.
Des Weiteren wird es im Rahmen unserer Veranstaltung datenschutzticker.live am 30.10.2019 eine Podiumsdiskussion geben und wir möchten Ihnen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
11. Oktober 2019
Strafhöhe in Deutschland vergleichsweise gering
In den vergangenen beiden Wochen haben wir die bereits ausgesprochenen Sanktionen konturiert. Hierbei lag der Fokus auf Deutschland einerseits sowie auf Europa andererseits. Der heutige Beitrag soll die aktuelle Praxis der nationalen wie internationalen Aufsichtsbehörden gegenüberstellen.
Zu Beginn des Vergleichs fällt die divergierende Höhe der in den einzelnen Ländern verhängten Strafen auf. So intendieren insbesondere hohe Strafen wie etwa die 50 Millionen Euro, die die französische Aufsichtsbehörde CNIL Anfang 2019 gegen Google verhängte oder aber auch die von der britischen Aufsichtsbehörde ICO im Juli 2019 ausgesprochenen Strafen gegen Marriott International (110 Millionen Euro) und British Airways (204 Millionen Euro) eine rigorose Anwendung der durch die DSGVO statuierten aufsichtsbehördlichen Befugnisse.
Im Gegensatz dazu scheinen die deutschen Aufsichtsbehörden mit einer Strafhöhe von maximal ca. 200.000 Euro (gegen die Delivery Hero Germany GmbH) eher zurückhaltend zu sein. Selbiges gilt für Aufsichtsbehörden anderer Länder. Allerdings hat die Behörde in Berlin nach Angaben der Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dalia Kues, die Intention, in absehbarer Zeit ein Bußgeld in Millionenhöhe wegen Verstößen gegen die DSGVO zu verhängen. Es stellt sich mithin die Frage: Sind Frankreich und England im Vergleich besonders streng?
Die Antwort wird im Ergebnis wohl nein lauten. Wie bereits im vorherigen Beitrag erwähnt handelte es sich bei den Adressaten der hohen Strafen um solche Unternehmen, die sehr umsatzstark sind. Hieraus resultiert zwangsweise eine größere, eindrucksvollere Summe. Der Eindruck, dass deutsche Behörden zurückhaltender sind, wird sich demnach in der Retrospektive wahrscheinlich als falsch herausstellen. Möglicherweise schafft ein etwaiger „Bußgeldrechner“ der Behörden in naher Zukunft Klarheit.
Grund für etwaige Strafen
Der Strafgrund divergiert im internationalen Vergleich erwartungsgemäß nicht. Geldbußen werden primär aufgrund von Verstößen gegen Art. 13, 14 und 32 DSGVO verhängt. Auch scheinen die Unternehmen trotz der doch teils erheblichen Schwierigkeiten bei der Umsetzung der DSGVO insgesamt einen positiven Eindruck bei den Aufsichtsbehörden zu hinterlassen. So ist, mit Ausnahme von einzelnen Härtefällen, öffentliche Kritik an der Umsetzung einzelner Unternehmen vergleichsweise selten. Auch werden Strafen grundsätzlich gleichermaßen gegen Unternehmen in jeder Branche und gegen öffentliche Stellen verhängt. Auch Privatpersonen wurden bereits mit Strafen belegt.
Ausblick auf weitere Themen
In der nächsten Woche werden wir für Sie die bisher insgesamt verhängten Strafen in Bezug auf Ihre Höhe analysieren.
Im Rahmen unserer Veranstaltung datenschutzticker.live am 30.10.2019 wird es eine Podiumsdiskussion geben und wir möchten Ihnen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
4. Oktober 2019
In den vergangenen beiden Wochen wurde bereits über die gesetzlichen Grundlagen für Sanktionen und die in Deutschland bislang verhängten Strafen berichtet. In dieser Woche soll es um Strafen gehen, die in den weiteren europäischen Ländern von den jeweils zuständigen Aufsichtsbehörden verhängt wurden.
Mediale Aufmerksamkeit in Fällen hoher Bußgelder
Über einige Sanktionen wurde weltweit berichtet. Das betrifft zum Beispiel die € 50 Millionen Strafe, die die französische Aufsichtsbehörde CNIL Anfang 2019 gegen Google verhängte oder auch die von der britischen Aufsichtsbehörde ICO im Juli 2019 ausgesprochenen Strafen gegen Marriott International (€ 110 Millionen) und British Airways (€ 204 Millionen). Auf den ersten Blick erscheinen derartige Bußgelder exorbitant hoch. Hierbei darf allerdings nicht außer Acht gelassen werden, dass große, umsatzstarke Unternehmen zwangsläufig höhere Strafen zahlen. So entsprach die gegen British Airways ausgesprochene Strafe lediglich 1% des weltweiten Jahresumsatzes. Überdies ist zu beachten, dass die Strafen zum Zeitpunkt der Veröffentlichung dieses Beitrags noch nicht final sind. Im Zeitpunkt der Veröffentlichung dieses Beitrages ist noch keine abschließende Stellungnahme (insbesondere des ICO) bekannt.
Grund für etwaige Sanktionen
Sowohl Marriott International als auch British Airways wurden Verstöße gegen Art. 32 DSGVO, also gegen die Sicherheit der Verarbeitung, nachgewiesen. Demgegenüber beruht die vom CNIL gegen Google ausgesprochene Strafe auf einer Verletzung der Art. 13 und 14 DSGVO (Informationspflichten). Die Verletzung von Maßgaben der Art. 13, 14 und 32 DSGVO sind überdies – neben Verstößen gegen Art. 5 DSGVO (Grundsätze der Verarbeitung) – auch die häufigsten Gründe für die Verhängung von Strafen.
Beispiele
Des Weiteren sind bisher ca. 70 Geldbußen mit einer verhängten Strafe von € 118 bis € 2.600.000 bekannt. Insgesamt haben 21 verschiedene EU-Länder bereits Strafen gegen Unternehmen, öffentliche Stellen und teilweise auch gegen Privatpersonen ausgesprochen.
Betroffen waren Unternehmen aus unterschiedlichen Branchen, von der Gesundheitseinrichtung über Fußballigen, Banken, Online-Unternehmen bis hin zu öffentliche Stellen und Privatpersonen.
Folgend ein kurzer Auszug:
Ausblick auf weitere Themen
In der nächsten Woche werden wir für Sie die deutschen und europäischen Strafen gegenüberstellen und einem Vergleich zuführen.
Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
27. September 2019
In diesem Beitrag geht es um die bisher in Deutschland verhängten Sanktionen. Diese werden im Rahmen der unabhängigen Arbeit von den einzelnen Landesdatenschutzbehörden ausgesprochen.
Zurückhaltung bei der Aussprache etwaiger Strafen
Im Laufe des ersten Jahres
erschien es dem externen Beobachter bisweilen so, als würden die Landesdatenschutzbehörden
den Unternehmen ermöglichen, sich zunächst einmal an die durch die Datenschutzgrundverordnung
(DSGVO) konturierten Rahmenbedingungen zu gewöhnen. Strafen wurden lediglich
zurückhaltend ausgesprochen. Auch aus aktueller Perspektive besteht ebenfalls noch
kein Grund zur Angst vor horrenden Bußgeldern. Die bisher verhängten
Geldbußen in Baden-Württemberg waren beispielsweise zwei Bußgeldbescheide
in Höhe von jeweils 80.000 Euro. In Berlin war es ein Bußgeldbescheid gegen das
Unternehmen Delivery Hero Germany GmbH in Höhe von 195.407 Euro. Beides ist im
Vergleich zu dem jährlichen Gewinn eines größeren mittelständischen
Unternehmens – überspitzt formuliert – fast unerheblich.
Höhere Strafen in absehbarer Zeit
In der kommenden Zeit könnte sich dies aus aktueller Perspektive jedoch ändern. So hat Berlin nach Angaben der Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dalia Kues die Intention, in absehbarer Zeit ein Bußgeld in Millionenhöhe wegen Verstößen gegen die DSGVO zu verhängen. Mit anderen Worten scheint es so, als würde sich „der Wind drehen“. Dennoch bleibt festzuhalten, dass die Deutschen Behörden grundsätzlich sehr maßvoll bei der Verhängung etwaiger Bußgelder agieren.
Ausblick auf weitere Themen
In der nächsten Woche geht es um
Sanktionen die auf internationaler Ebene seit Einführung der DSGVO verhängt
wurden.
Im Rahmen unserer Veranstaltung,
dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion
geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen,
datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre
Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos
für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich
datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
20. September 2019
In diesem Beitrag geht es um die gesetzlichen Grundlagen für die Verhängung von Sanktionen. Wie in jedem rechtlich relevanten Bereich können auch im Datenschutzrecht Rechtsverstöße mit Sanktionen geahndet werden. Dies galt bereits vor Inkrafttreten der EU-Datenschutzgrund-verordnung (DSGVO) am 25. Mai des vergangenen Jahres. Im Zuge der Einführung des EU-weit geltenden Datenschutzrechts wurden die Sanktionen vereinheitlicht, den nationalen Gesetzgebern aber weiterhin die Möglichkeit eingeräumt, darüberhinausgehende Regelungen zu erlassen.
Sanktionen auf Grundlage der DSGVO
Die DSGVO enthält zunächst Regelungen zu geldwerten Sanktionen (Art. 82-84 DSGVO). Daneben hat der Betroffene die Möglichkeit, eine Beschwerde bei der Aufsichtsbehörde zu erheben (Art. 77 DSGVO) oder Rechtsbehelfen gegen die Aufsichtsbehörde (Art. 78 DSGVO) bzw. den Verantwortlichen oder Auftragsverarbeiter (Art. 79 DSGVO) einzulegen.
Ausgehend von Art. 82 DSGVO haften grundsätzlich alle an der Verarbeitung beteiligte Parteien dem Betroffenen auf Ersatz materieller sowie immaterieller Schäden. Einzige Ausnahme ist insoweit die gelungene Entlastung nach Art. 82 Abs. 3 DSGVO. Diese Norm soll also nicht strafen, sondern den erlittenen Schaden in Geld ausgleichen und ist dementsprechend in dem Verhältnis von Betroffenen zum (Auftrags-)Verarbeiter anzuwenden.
Korrelierend dazu normiert Art. 83 DSGVO Voraussetzung und Höhe einer durch die Behörden verhängten Geldbuße. Hier wird nicht der Betroffene entschädigt, sondern die Aufsichtsbehörde spricht eine Strafe gegen den (Auftrags-)Verarbeiter wegen eines Fehlverhaltens aus, die nicht den eingetretenen Schaden beim Betroffenen ausgleichen, sondern Sanktionswirkung haben soll.
Konkret enthält Art. 83 Absatz 2 DSGVO Parameter, die bei der Verhängung einer Geldstrafe zu berücksichtigen sind. Jede Sanktion ist eine Einzelfallentscheidung bei der unter anderem Art, Schwere und Dauer des Verstoßes, Maßnahmen zur Minderung des Schadens und Grad der Verantwortlichkeit berücksichtigt werden. Als Geldbuße können maximal 20 000 000 EUR, oder im Fall eines Unternehmens, bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhangen werden. Sanktionsbewehrte Verstöße sind unter anderem:
- Verletzung der Verarbeitungsgrundsätze des Art. 5 DSGVO,
- Verstöße gegen die Rechte der betroffenen Personen, Art. 12-23 DSGVO,
- Internationale Datentransfers ohne rechtliche Grundlage, Art. 44-50 DSGVO und
- Compliance-Verstöße, die zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen.
Insgesamt ist festzustellen, dass nur sehr wenige Verstöße gegen materiell-rechtliche Pflichten bußgeldbefreit sind, was die Relevanz datenschutzrechtlicher Compliance immens erhöht. Mithin ist ein gutes, den gesetzlichen Voraussetzungen entsprechendes, Datenschutzmanagement unverzichtbar.
Sanktionen auf Grundlage des Bundesdatenschutzgesetzes
Art. 84 DSGVO ermächtigt den nationalen Gesetzgeber Sanktionen für Verstöße gegen die DSGVO in nationalen Gesetzen festzulegen. Diese Möglichkeit hat der deutsche Gesetzgeber im Bundesdatenschutzgesetzes (BDSG) wahrgenommen.
Zunächst eröffnet § 41 BDSG die Anwendbarkeit der Vorschriften über das Bußgeld- und Strafverfahren. So sind sowohl das Ordnungswidrig-keitengsetz (OWiG) als auch die Strafprozessordnung (StPO) sowie das Gerichtsverfassungsgesetz (GVG) im Zusammenhang mit datenschutzrechtlichen Verstößen anwendbar.
Überdies erweitert das BDSG die Haftung auf den Einzelnen, sodass neben Bußgeldern die gegen Unternehmen verhängt werden können auch Geld- bzw. Freiheitsstrafen in Betracht kommen. Konkret wird die berechtigungslose, gewerbsmäßige Weitergabe von Daten an eine große Zahl von Personen sowie die berechtigungslose Verarbeitung von Daten mit Bereicherungs- bzw. Schädigungsabsicht bestraft. Das Strafmaß ist von Geldstrafe bis zur Freiheitsstrafe von zwei Jahren (§ 42 BDSG). § 43 BDSG formuliert sodann die bußgeldbewehrten Ordnungswidrigkeiten die bei Verstößen gegen § 30 BDSG vorliegen können.
Ausblick auf weitere Themen
In der nächsten Woche geht es um Sanktionen die seit Einführung der DSGVO und der Anpassung des BDSG, in Deutschland verhängt wurden.
Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.