Die Ahndung mit Geldbuße muss dem Wortlaut nach wirksam, verhältnismäßig und abschreckend sein. Der neue Bußgeldrahmen der durch die EU-DSGVO vorgegeben wird, kann dabei bis zu 20 Mio. Euro bzw. 4% des weltweiten Jahresumsatzes ausmachen, je nachdem was höher ausfällt. Die Besonderheiten der neuen Sanktionsmöglichkeiten hat das BayLDA wieder in einem kurzen Whitepaper zusammengefasst.

JETZT AUCH BEI TOM-VERSTÖSSEN

Eine wichtige Neuerung gegenüber den noch aktuellen Regelungen des BDSG findet sich in der Sanktionierung von Bußgeldern wenn keine geeigneten und angemessenen technischen und organisatorischen Maßnahmen (TOM) getroffen werden. Ein weiterer beachtenswerter Aspekt: „Auch Verstöße Verantwortlicher gegen die Pflichten zu datenschutzfreundlicher Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen können zu Geldbußen führen.“

ACHTUNG, AUFTRAGSDATENVERARBEITER!

Geldbußen können dann auch gegen Auftragsdatenverarbeiter verhängt werden. War bisher doch hauptsächlich das beauftragende Unternehmen im Fokus, so werden zukünftig auch die Dienstleister angehalten sein, auf das Vorhandensein von ADV-Verträgen zu achten. Geldbußen können aber natürlich auch gegen Verantwortliche, Zertifizierungsstellen oder Stellen, die zur Überwachung sogenannter genehmigter Verhaltensregeln (CoC) akkreditiert sind, verhängt werden. Wichtiger Hinweis des BayLDA:
„Hierbei ist davon auszugehen, dass Unternehmen für Verstöße, die durch ihre Mitarbeiter begangen werden, grundsätzlich einstehen müssen und somit geahndet werden können. Inwieweit auch Geldbußen gegen Mitarbeiter als solche verhängt werden können, regelt die DS-GVO selbst nicht. In diesem Punkt ist das nationale Umsetzungsgesetz abzuwarten.“

HÖHERE BUSSGELDER

Bußgelder werden nach der DSGVO nur noch in zweierlei Kategorien verhängt: bis zu 10 Mio. € oder bis zu 2% des weltweit erzielten Jahresumsatzes ODER bis zu 20 Mio. € oder bis zu 4% des weltweiten Jahresumsatzes. Dabei wird jeweils immer der höher ausfallende Betrag herangezogen. Wie das Whitepaper weiter aufklärt:
„Sofern das geahndete Unternehmen zu einer Unternehmensgruppe bzw. einem Konzern gehört, ist hierbei nicht allein der Jahresumsatz des eigentlichen geahndeten Rechtsträgers (also des Verantwortlichen bzw. Auftragsverarbeiters) maßgeblich, sondern der Jahresumsatz der gesamten Unternehmensgruppe bzw. des gesamten Konzerns.“

KRITERIEN FÜR DIE BUSSGELDHÖHE

Vom Gesetzgeber werden etliche Kriterien erwähnt, die sich auf die letztendlich zu verhängende Höhe des Bußgeldes auswirken: gibt es z. B. einschlägige frühere Verstöße? wie kooperativ zeigt sich der Verantwortliche bzw. Datenverarbeiter gegenüber der Aufsichtsbehörde?
„Für die Bemessung von Geldbußen kann künftig der Europäische Datenschutzausschuss – das Gremium der Aufsichtsbehörden der EUMitgliedstaaten – Leitlinien entwickeln. Schon deshalb muss davon ausgegangen werden, dass es mittelfristig zu einer gleichmäßigen Anwendung der Sanktionsmöglichkeiten in Europa kommen wird. Dies ist auch der erklärte Wille des Gesetzgebers.“