Gelbußen - eine Stellungnahme der Art 29 DS-Gruppe

 

 

„Einzelne Verstöße haben kein spezielles Preisschild in der DSGVO, nur eine Obergrenze (Maximalbetrag).“

 

Die Tatsache, dass ein Verantwortlicher von der Verletzung der DSGVO profitiert hat, wird eine starke Indikation dafür sein, dass eine Geldbuße verhängt werden soll.“

(Aussagen der Art 29-DS-Gruppe bzgl. Geldbußen nach der DSGVO)

 

 

 

 

 

Die Art 29-Datenschutzgruppe der EU hat Richtlinien zur Anwendung und Verhängung von Geldbußen für den Zweck Verordnung Nr. 679/2016 am 3.10.2017 (in englischer Sprache) veröffentlicht.

 

Diese befassen sich mit der Frage, unter welchen Voraussetzungen Geldbußen oder andere Sanktionen nach der DSGVO (z.B. Ermahnung) verhängt werden sollen bzw. können. Nach Durchsicht der Richtlinien ist klar, dass die Art 29-DS-Gruppe sich nicht wirklich im Detail festlegt, sondern nur allgemeine Aussagen trifft.

 

Hier eine überblicksartige, zusammenfassende Übersetzung der Richtlinien.

 

           

 

I. Introduction / Einleitung

 

In der Einleitung wird allgemein auf die Datenschutz-Grundverordnung (DSGVO) Bezug genommen und dargelegt, dass sieben Säulen (als Schlüsselkomponenten) maßgebend sind:  kohärente Regelungen, vereinfachte Verfahren, eine koordinierte Vorgehensweise, Einbindung von Nutzern, effektivere Information sowie stärkere Vollstreckungsbefugnisse.

 

Es wird darauf hingewiesen, dass Verantwortliche und Autragsverarbeiter erhöhte Verantwortlichkeiten haben, um sicherzustellen, dass die personenbezogenen Daten natürlicher Personen effektiver geschützt werden.

 

Die Aufsichtsbehörden haben die Befugnisse sicherzustellen, dass einerseits die Prinzipien der DSGVO und andererseits die Rechte der betroffenen Personen im Sinne des Wortlautes und des Geistes der DSGVO hochgehalten werden.

 

 

 

II. Principles / Grundlagen

 

Es werden folgende Themen behandelt:

 

 

 

1. Infringement of the Regulation should lead to the imposition of “equivalent sanctions”. Der Verstoß gegen die Verordnung soll zur Verhängung von “gleichartigen Sanktionen” führen.

 

 

 

In diesem Kapitel wird die Tatsache erörtert, dass innerhalb der EU gleichartige Sanktionen verhängt werden sollen; dies ergibt sich im Wesentlichen aus ErwG 11: Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.

 

 

 

2. Like all corrective measures chosen by the supervisory authorities, administrative fines should be “effective, proportionate and dissuasive”. So wie alle Verbesserungsmaßnahmen, die von der Aufsichtsbehörde gewählt werden, sollen die Geldbußen “ wirksam, verhältnismäßig und abschreckend“ sein sollen

 

 

 

Es wird dargelegt, dass die Geldbußen eine angemessene Reaktion auf das Verhalten der Normunterworfenen sein sollen, und die Natur der Verletzung, die Schwere und die Folgen der Verletzung berücksichtigen.

 

 

 

3. The competent supervisory authority will make an assessment “in each individual case”. Die zuständige Aufsichtsbehörde wird die Bewertung in “jedem Einzelfall” vornehmen.

 

 

 

Es gibt unterschiedliche Verstöße gegen die DSGVO, die dann unterschiedliche (maximale) Strafdrohungen unterliegen. Die DSGVO legt fest, dass in jedem Einzelfall die Bewertung vorgenommen wird. Geldbußen sind ein wichtiges Instrument, das die Aufsichtsbehörde in angemessenen Umständen anwenden kann. Die Aufsichtsbehörden sind gehalten, einen wohlüberlegten und ausgewogenen Ansatz bei der Anwendung der Abhilfemaßnahmen anzuwenden, um einerseits eine wirksame und abschreckende, aber andererseits auch eine angemessene Reaktion auf die Verletzung zu erreichen.

 

 

 

4. A harmonized approach to administrative fines in the field of data protection requires active participation and information exchange among Supervisory Authorities. Ein harmonisierter Ansatz für Geldbußen im Bereich Datenschutz setzt aktive Teilnahme und Austausch von Informationen unter den Aufsichtsbehörden voraus.

 

 

 

Unter dieser Überschrift wird beschrieben, dass die Aufsichtsbehörden sich in Zukunft wesentlich mehr austauschen müssen, und proaktiv Informationen austauschen werden.

 

 

 

III. Assessment criteria in article 83 (2) / Zumessungsgründe in Art 83 (2)

 

 

 

In diesem dritten Unterkapitel findet sich mE nicht viel Neues, sondern sind darin lediglich Allgemeine Aussagen zur Frage der Anwendung der Strafzumessungsgründe des Art 83 (2) DSGVO in der Systematik des Artikels selbst enthalten.

 

 

(a) the nature, gravity and duration of the infringement / Art, Schwere und Dauer des Verstoßes

 

Schon die Tatsache, dass die DSGVO selbst vorgibt, dass es Verstöße minderen Grades (EUR 10.000.000,-- / 2 % vom Umsatz) geben kann, legt nahe, dass die Art des Verstoßes einen Einfluss auf die Geldbuße hat.

 

Der ErwG 148 beinhaltet ebenfalls einen Hinweis auf „geringfügigere Verstöße“. Derartige Verstöße können eine oder mehrere Handlungen darstellen, die in Art 83 (4) oder 83 (5) DSGVO genannt ist. Die Zumessungsgründe des Art 83 (2) können die Aufsichtsbehörde dazu führen, dass sie der Ansicht ist, dass bei den konkreten Umständen des Falles, wenn der Verstoße z.B. kein signifikantes Risiko für die betroffenen Datensubjekte darstellt und nicht den Kern (das Wesen) der besagten Verpflichtung betrifft. In derartigen Fällen, kann die Geldbußen (nicht immer) durch eine Ermahnung/Verwarnung ersetzt werden. Es besteht keine Verpflichtung, dass die Aufsichtsbehörde bei geringen Verstößen (nur) eine Ermahnung ausspricht, sondern dies ist lediglich eine Möglichkeit unter Berücksichtigung der konkreten Umstände des Einzelfalles.

 

Der ErwG 148 bietet auch die Möglichkeit, dass bei einem Verantwortlichen, der eine natürliche Person ist, und die Geldbuße zu einer unangemessenen Belastung führen würde, die Geldbuße durch eine Verwarnung ersetzt wird. In diesem Fall ist zuerst festzustellen, ob eine Geldbuße notwendig ist, und dann ob diese Geldbuße eine unangemessene Belastung für eine natürliche Person darstellen wird.

 

Einzelne Verstöße haben kein spezielles Preisschild in der DSGVO, nur eine Obergrenze (Maximalbetrag).

 

Auf folgende Kriterien sind zu beachten: die Art, der Umfangs oder der Zweckder betreffenden Verarbeitung sowie die Zahl der von der Verarbeitung betroffenen Personen und das Ausmaßes des von ihnen erlittenen Schadens.

 

 

 

(b) the intentional or negligent character of the infringement / Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes

 

Je nach Verschuldensgrad wird es Abstufungen in der Geldbuße geben. Vorsätzlichkeit beinhaltet „Wissen“ und „Willen“  und Fahrlässigkeit bedeutet, dass es keine Intention gab, einen Verstoß zu begehen, obwohl es zu einem Verstoß gekommen ist, und es wurde eine gesetzliche Sorgfaltspflicht verletzt.

 

Umstände, die Vorsätzlichkeit nahelegen, sind  z.B. ungesetzliche Verarbetung, die vom Top Management genehmigt wurde, oder ohne Berücksichtigung von Ratschlägen des Datenschutz-Beauftragten oder in Vernachlässigung von bestehenden Richtlinien, z.B. die Erlangung und Verarbeitung von Arbeitnehmerdaten eines Mitbewerbers mit dem Willen, den Mitbewerber auf dem Markt zu diskreditieren. 

 

Andere Beispiele könnten Folgende sein:

 

·         Veränderung von personenbezogenen Daten um einen irreführenden (positiven) Eindruck zu erwecken, dass die Ziele erreicht wurden (dies gab es z.B. in Zusammenhang mit Zielen für Wartezeiten in Krankenanstalten)

 

·         Der Handel mit personenbezogenen Daten für Marketingzwecke, z.B. der Verkauf von Daten als „zugestimmt“ ohne oder unter Vernachlässigung der Ansichten der Datensubjekte in Bezug auf die Art der Datenverwendung.

 

Andere Umstände, z.B. Unterlassung bestehende Richtlinien zu lesen oder einzuhalten, menschliches Versagen, Nachlässigkeiten bei der Prüfung von Veröffentlichung auf personenbezogene Daten, Fehlen von technischen Updates in angemessener Zeit, Unterlassung der Erlassung von Richtlinien (anders als diese nicht anzuwenden) könnten Indizien für Fahrlässigkeit darstellen.            

 

 

 

(c) any action taken by the controller or processor to mitigate the damage suffered by data subjects / jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens

 

 

 

Verantwortliche und Auftragsverarbeiter sind verpflichtet, technische und organisatorische Maßnahmen zu setzen, um ein risikoangemessenes Datensicherheitsniveau zu erreichen, und auch Datenschutz-Folgenabschätzungen durchzuführen, und Risiken für die Freiheiten und Rechte der natürlichen Personen zu minimieren.

 

Wenn dennoch ein Schaden nach einer Datenschutzverletzung entsteht, dann soll die verantwortliche Partei alles unternehmen, was möglich ist, um die Folgeerscheinungen der Datenschutzverletzung zu reduzieren.

 

Beispiele hierfür könnten sein:

 

·         Kontaktaufnahme zu anderen Verantwortlichen/Auftragsverarbeitern, die in die Verarbeitung einbezogen waren, z.B. wenn personenbezogene Daten irrtümlich mit Dritten geteilt wurden

 

·         Rechtzeitiges Handeln um die weitere Verletzung oder deren  Ausweitung zu verhindern.

 

 

 

(d) the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them pursuant to Articles 25 and 32 / Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen

 

 

 

Aufgrund der Regelungen der DSGVO hat der Verantwortliche / Auftragsverarbeiter eine Bewertung des Risikos vorzunehmen, und angemessene technische und organisatorische Maßnahmen (siehe Art 32) und Maßnahmen gem Art 25 (Privacy by Design und Privacy by Default) zu setzen.

 

 

 

 

(e) any relevant previous infringements by the controller or processor /  etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters

 

Das bisherige Verhalten eines Verantwortlichen / Auftragsverarbeiters ist ebenfalls maßgebend, und frühere, einschlägige Verstöße wirken erschwerend, und ein „erster Verstoß“ ist als mildernd zu werten.

 

Berücksichtigt werden sowohl die Art des Verstoßes (gleichartige Verletzung) als auch die Art und Weise der Begehung desselben.

 

 

 

(f) the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement / Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern

 

 

 

Insbesondere wird auch die Art und Weise der Antwort auf Anfragen der Aufsichtsbehörde für die Frage der Bemessung der Geldbuße relevant sein.

 

Es geht nicht darum, dass die ohnehin notwendige und vorgeschriebene Kooperation mit der Aufsichtsbehörde eine weitere Berücksichtigung findet, so z.B. ist es ohnehin vorgeschrieben, dass die Aufsichtsbehörde Zutritt für Audits und Einschauen haben muss.

 

 

 

(g) the categories of the personal data affected by the infringement / Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind

 

Die Art der Daten spielt schon in der Frage der Rechtmäßigkeit oder bei der Datenschutz-Folgenabschätzung sowie auch bei der Frage der Notwendigkeit der Bestellung eines Datenschutzbeauftragten eine große Rolle, daher ist es nicht verwunderlich, dass dies auch bei der Frage der Bemessung der Geldbuße wesentlich ist.

 

 

 

Die wesentlichen Fragen, die hier zu stellen sind:

 

·         Betrifft die Verletzung besondere Datenkategorien der Art 9 oder 10 der DSGVO?

 

·         Sind die Personen direkt oder indirekt bestimmbar?

 

·         Beinhaltet die Verarbeitung Daten deren Verbreitung unmittelbaren Schaden / Nachteil für die Personen haben kann (außerhalb von Art 9 oder Art 10 Daten)?

 

·         Sind die Daten direkt ohne technischen Schutz verfügbar oder sind sie verschlüsselt?

 

 

 

(h) the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement / Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat

 

 

 

Eine Aufsichtbehörde kann von einem Verstoß durch eine eigene Untersuchung, eine Beschwerde, die Medien, anonyme Hinweise oder aber durch eine Mitteilung des Verantwortlichen erfahren. Wenn der Verantwortliche die Verpflichtung hat, eine Datenschutzverletzung zu melden (Data Breach Notification Duty) und diese Verpflichtung erfüllt, dann ist dies kein Grund für die Milderung der Geldbuße. Aber auch dann, wenn ein Verantwortlicher fahrlässig gehandelt hat, und keine Meldung erstattet, oder nicht alle Details der Verletzung aufgrund einer nicht angemessenen Beurteilung des Ausmaßes des Verstoßes offenlegt, kann von der Aufsichtsbehörde auch eine schwere Strafe erhalte, z.B. wird dies vermutlich dann nicht als geringfügige Verletzung anzusehen sein.

 

 

(i) where measures referred to in Article 58 (2) have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures / Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden

 

 

 

Ein Verantwortlicher oder Auftragsverarbeiter kann schon „auf dem Radar“ der Aufsichtsbehörden nach einer begangenen Verletzungshandlung sein; auch Kontakte mit den Datenschutzbeauftragten, die bestehen werden, sind unter diesem Gesichtspunkt maßgebend.

 

Unter diesem Absatz des Art 83 geht es um Maßnahmen, die in Bezug auf dieselbe Angelegenheit gesetzt wurden.

 

 

 

(j) adherence to approved codes of conduct pursuant to Article 40 or approved certification mechanisms pursuant to Article 42 / Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42

 

Die Einhaltung eines zertifizierten Code of Conduct gem. Art 40 oder eines genehmigten Zertifizierungsverfahrens ist ein Bestandteil der DSGVO wie „Compliance“ hergestellt und auch nachgewiesen werden kann. Ein genehmigter Code of Conduct hat auch Verfahren zur Überwachungsmöglichkeit vorzusehen (siehe insbes. Art 40 (4)).

 

Die Sanktionsmöglichkeiten innerhalb von zertifizierten Verhaltensregel z.B. Aussetzung oder Ausschluss sind jedoch unabhängig von der Kompetenz der Aufsichtsbehörde Geldbußen zu verhängen.

 

 

 

(k) any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement / jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste

 

 

 

Diese letzte Klausel des Art 83 (2) beschreibt als „catch-all-clause“ alle möglichen Sachverhalte, die bei der Strafbemessung Berücksichtigung finden könnten, und benennt selbst Beispiele, wie z.B. finanzielle Vorteile durch den Verstoß oder vermiedene Verluste als Folge des Verstoßes. Finanzielle Vorteile aufgrund einer Datenschutzverletzung können nicht durch Maßnahmen, die keine finanzielle Komponente beinhalten, kompensiert werden.

 

Die Tatsache, dass ein Verantwortlicher von der Verletzung der DSGVO profitiert hat, wird eine starke Indikation dafür sein, dass eine Geldbuße verhängt werden soll.