DSGVO: Geldbußen bis EUR 20.000.000,--

Der Strafrahmen für Datenschutzverletzungen steigt mit Geltung der DSGVO (25.5.2018) dramatisch, und zwar auf 4 % des weltweiten Konzernumsatzes des Vorjahres / EUR 20.000.000,-- als maximale Strafe bzw. 2 % des weltweiten Konzernumsatzes des Vorjahres / EUR 10.000.000,-- bei "geringfügigeren Delikten", wobei dies jeweils die absolute Obergrenze darstellt und immer der Betrag anwendbar ist, der "höher" ist.

 

erste Geldstrafe durch die DSB in Österreich

 

Die DSB hat die erste Geldstrafe verhängt.

EUR 4.800,-- für eine nicht korrekt gekennzeichnete Videoüberwachung, die den öffentlichen Raum mitüberwachte.

 

mehr lesen

Straffreiheit in Österreich bei Datenschutzverletzungen?

 

Nach Medienberichten werden in Österreich Unternehmen nicht gestraft, wenn Mitarbeiter in untergeordneten Positionen die Bestimmungen der DSGVO verletzen.

 

 

 

Das ist mE so nicht korrekt.

 

 

 

§ 30 (2) DSG bleibt auch nach dem Datenschutz-DeregulierungsG unverändert:

 

 

 

(2) Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

 

 

 

 

 

Die in § 30 (1) genannten Personen sind folgende Personen:

 

1. Personen mit der Befugnis zur Vertretung der juristischen Person,

 

2. Personen mit der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

 

3. Personen mit einer Kontrollbefugnis innerhalb der juristischen Person

 

 

Die datenschutzrechtlichen Normen regeln viele organisatorische Maßnahmen (zB Verzeichnis der Verarbeitungstätigkeiten, Informationspflichten (Transparenz), Speicherbegrenzung (Löschung), Rechtmäßigkeit und Zweckfestlegung/-bindung als Grundlage jeder Verarbeitungstätigkeiten), und damit werden die Verantwortlichen und Auftragsverarbeiter verpflichtet, Maßnahmen in den Organisationen zu setzen.

 

 

 

Auch „technische und organisatorische Maßnahmen“ (Datensicherheitsmaßnahmen) sind zu setzen und zu dokumentieren, und Art 32 (1) lit d normiert auch, dass ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzurichten ist.

 

 

 

Wenn daher die Maßnahmen vernachlässigt werden, dann führt eine „mangelnde Überwachung und Kontrolle“ dazu, dass die Tat (Verletzung datenschutzrechtlicher Bestimmunen) ermöglicht wird, und der juristischen Person droht eine Geldbuße (nach Maßgabe des neuen § 11 DSG).

 

 

 

Zu beachten ist auch, dass für die Frage der Verletzung der datenschutzrechtlichen Bestimmungen und die Strafbarkeit, kein „Erfolg“ eintreten muss, sondern es sich um ein sog. Ungehorsamsdelikt iSd (anwendbaren) § 5 VStG handelt.

 

 

 

Hier einige Rechtssätze des VwGH zum Thema „Kontrollsystem“ und „Überwachung“ sowie Ungehorsamsdelikte

 

 

 

GRS wie 2002/03/0191

 

Ausführungen dazu, dass bei den im vorliegenden Erkenntnis näher dargestellten Übertretungen des GGBG als Ungehorsamsdelikten gemäß § 5 Abs. 1 VStG Fahrlässigkeit anzunehmen ist, es sei denn, der Beschuldigte macht glaubhaft, dass ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft. Dies ist nach einschlägiger Judikatur des Verwaltungsgerichtshofes dann der Fall, wenn der Beschuldigte im Betrieb ein wirksames Kontrollsystem eingerichtet hat, sodass er unter den vorhersehbaren Verhältnissen mit gutem Grund die Einhaltung der gesetzlichen Vorschriften erwarten konnte (siehe das hg. Erkenntnis vom 18. November 2003, Zl. 2001/03/0322). Nur ein solches, durch den Beschuldigten eingerichtetes Kontrollsystem hätte daher exkulpierende Wirkung. Ein solches liegt aber nur dann vor, wenn dadurch die Überwachung des Zustandes aller im Betrieb eingesetzter Fahrzeuge jederzeit sichergestellt werden kann (vgl. das hg. Erkenntnis vom 17. Jänner 1990, Zl. 89/03/0165).

 

 

 

Rechtssatz (Entscheidung 2013/10/0236)

 

Wenn der Geschäftsführer, der zur Vertretung der Gesellschaft nach außen berufen ist und damit für die Einhaltung der Verwaltungsvorschriften Sorge zu tragen hat, die Besorgung einzelner Angelegenheiten anderen Personen selbstverantwortlich überlässt, obliegt es ihm, ein wirksames Kontrollsystem einzurichten, wobei er der Behörde bei einem Verstoß gegen die entsprechenden Vorschriften dieses System im Einzelnen darzulegen hat. Die bloße Erteilung von Weisungen reicht nicht hin, entscheidend ist, ob auch eine wirksame Kontrolle der vom Verantwortlichen erteilten Weisungen erfolgte, die unter den vorhersehbaren Verhältnissen die Einhaltung der gesetzlichen Vorschrift mit gutem Grund erwarten ließ (vgl. E 16. Februar 2011, 2011/08/0004).

 

 

 

Stammrechtssatz (Ra 2016/02/0137)

 

Im Rahmen eines funktionierenden Kontrollsystems kann es kein Vertrauen darauf geben, dass die eingewiesenen, laufend geschulten und ordnungsgemäß ausgerüsteten Arbeitnehmer die Arbeitnehmerschutzvorschriften einhalten. Vielmehr ist es für die Darstellung eines wirksamen Kontrollsystems erforderlich, unter anderem aufzuzeigen, welche Maßnahmen im Einzelnen der unmittelbar Übergeordnete im Rahmen des Kontrollsystems zu ergreifen verpflichtet war, um durchzusetzen, dass jeder in dieses Kontrollsystem eingebundene Mitarbeiter die arbeitnehmerschutzrechtlichen Vorschriften auch tatsächlich befolgt und welche Maßnahmen schließlich der an der Spitze der Unternehmenshierarchie stehende Anordnungsbefugte vorgesehen hat, um das Funktionieren des Kontrollsystems insgesamt zu gewährleisten, das heißt sicherzustellen, dass die auf der jeweils übergeordneten Ebene erteilten Anordnungen (Weisungen) zur Einhaltung arbeitnehmerschutzrechtlicher Vorschriften auch an die jeweils untergeordnete, zuletzt also an die unterste Hierarchie-Ebene gelangen und dort auch tatsächlich befolgt werden (vgl. B 13. April 2016, Ra 2016/02/0051).

 

 

 

 

 

Fazit:

 

  • Ein Verstoß gegen die datenschutzrechtlichen Vorschriften durch Mitarbeiter indiziert, dass das Kontrollsystem, welches im Unternehmen eingerichtet ist, nicht ausreichend ist, um Verstöße zu verhindern.

 

 

 

  • Das Unternehmen muss die Maßnahmen, die getroffen wurden, konkret darlegen und auch nachweisen, und diese müssen angemessen iSd Art 32 DSGVO sein.

 

 

 

  • Das Unternehmen muss nachweisen, dass das Kontrollsystem ausreichend ist, und der Verstoß den „Einzelfall“ darstellt, der passiert ist, und nicht vorhersehbar und nicht kontrollierbar ist.

 

 

 

  • Gelingt dieser Nachweis nicht, dann war das eingerichtete Kontrollsystem (oder die Maßnahmen zur „Überwachung und Kontrolle“ iSd § 30 (2) DSG) nicht ausreichend, und diese haben die Tatbegehung durch Mitarbeiter ermöglicht. Das Unternehmen setzt sich den Sanktionsdrohungen des Art 58 (2) DSGVO und damit auch – nach Maßgabe des § 11 DSG – auch Geldbußen aus.

 

Dr. Andrea Jelinek im Interview im Trend

Im Trend erschien vor Kurzem ein interessantes Interview mit der Leiterin der Österreichischen Datenschutzbehörde Fr. Dr. Andrea Jelinek mit dem Titel: Datenschutz: "Geldbußen müssen wirksam sein"

 

 

Hier der Link zum Nachlesen:

https://www.trend.at/branchen/digital/datenschutz-geldbussen-9251275

 

Im Entwurf des Datenschutz-Regulierungsgesetz werden nun auch Geldstrafen für Behörden und öffentliche Stellen vorgesehen, wenn diese nicht in Vollziehung der Gesetze tätig sind. Eine Information dazu finden Sie hier >>>

Geldbuße von EUR 15.000 in D für Datenschutzverletzung

Eine Kreditauskunftei hat nur aufgrund der Adresse einer Person einen Scoringwert erstellt und an einen Kunden übermittelt

mehr lesen

Geldbuße nach der DSGVO bis EUR 10 Mio oder 2 % des weltweiten Konzernumsatzes des Vorjahres

Verantwortlicher / Auftragsdatenverarbeiter verletzt die Pflichten
- dabei handelt es sich im Wesentlichen um organisatorische Verpflichtungen, die den Verantwortlichen oder den Auftragsdatenverarbeiter treffen -
gemäß
Art 8  (Bedingungen für die Einwilligung eines Kindes in Bezug auf DIenste der Informationsgesellschaft),
Art 11 (Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist)
,Art 25 (Datenschutz durch Technikgestaltung - privacy by design - und durch datenschutzfreundliche Voreinstellungen - privacy by default)
Art 26 (gemeinsam für die Verarbeitung Verantwortliche)
Art 27 (Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsdatenverarbeitern)
Art 28 (Auftragsdatenverarbeiter)
Art 29 (Verarbeitung unter Aufsicht des Verantwortlichen oder des Auftragsdatenverarbeiters)
Art 30 (Verzeichnis von Verarbeitungen)
Art 31 (Zusammenarbeit mit der Aufsichtsbehörde)
Art 32 (Sicherheit der Verarbeitung)
Art 33 (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde)
Art 34 (Benachrichtigung der von Verletzung des Schutzes personenbezogener Daten betroffen Person)
Art 35 (Datenschutz-Folgenabschätzung und vorherige Konsultation)
Art 36 (Vorherige Konsultation)
Art 37 (Benennung eins Datenschutzbeauftragten)
Art 38 (Stellung des Datenschutzbeauftragten)
Art 39 (Aufgaben des Datenschutzbeauftragten)
Art 42 (Zertifizierung)
Art 43 (Zertifizierungsstellen)
eine Zertifizierungsstelle verletzt die Pflichten gemäß den Art 42 und 43
Überwachungsstelle verletzt die Pflichten gemäß Art 41 Absatz 4

 

 


Geldbuße nach der DSGVO bis EUR 20 Mio oder 4 % des weltweiten Konzernumsatzes des Vorjahres

Verantwortlicher / Auftragsdatenverarbeiter verletzt Pflichten, die sich aus folgenden Artikeln der DSGVO ergeben

 

dabei handelt es sich um die "Grundprinzipien" der Datenverarbeitung

nach der DSGVO sowie die

Individualrechte der betroffenen Person

 

  1. die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß

    Art 5: Grundsätze für die Verarbeitung personenbezogener Daten - "Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit

    Art 6: Rechtmäßigkeit der Verarbeitung (Detailbestimmung, die den "Rechtsgrund" der Verarbeitung z.B. Einwilligung oder vertragliche Grundlage oder berechtigtes Interesse darlegt)

    Art 7: Bedingungen für die Einwilligung

    Art 9: Verarbeitung besonderer Kategorien personenbezogener Daten 

  2. die Rechte der betroffenen Person gemäß
    Art 12: Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
    Art 13: Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betreffenden Person
    Art 14: Informationspflicht, wenn die personenbezogenen Daten nich bei der betroffenen Person erhoben wurden
    Art 15: Auskunftsrecht der betroffenen Person
    Art 16: Recht auf Berichtigung
    Art 17: Recht auf Löschung ("Recht auf Vergessenwerden")
    Art 18: Recht auf Einschränkung der Verarbeitung
    Art 19: Mitteilungspflicht iZhg mit der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung
    Art 20: Recht auf Datenübertragbarkeit
    Art 21: Widerspruchsrecht
    Art 22: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
  3. die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Art 44 bis 49

  4. alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kap IX erlassen wurden;

  5. Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Art 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Art 58 Absatz 1.

 

 

 

 


Strafzumessungsgründe / Kriterien, die bei der Verhängung der Geldbuße nach der DSGVO zu berücksichtigen sind

Die DSGVO legt fest, dass Geldbu0en wirksam, verhältnismäßig und abschreckend sein sollen (siehe Art 83 (1) DSGVO). Der EDSA (Europäische Datenschutz Ausschuss) kann Leitlinien für die Festsetzung von Geldbußen ausarbeiten.
Folgende Umstände werden in jedem Einzelfall berücksichtigt:
  1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

  2. der Verschuldensgrad, dh ob die Tat vorsätzlich oder fahrlässig begangen wurde

  3. Schadensminderungsmaßnahen

  4. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organistorischen Maßnahmen gemäß den

    Art 25: privacy by design und privacy by Default und

    Art 32: Sicherheit der Verarbeitung, und zwar z.B. durch:
    Pseudonymisierung und Verschlüsselung,
    Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicher zu stellen,
    Fähigkeit, die Verfügbarkeit und den Zugang von personenbezogenen Daten bei einem Zwischenfall rasch wieder herzustellen,
    Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit Maßnahmen

  5. einschlägige frühere Verstöße (dh Verstöße in einem gewissen sachlichen Zusammenhang)

  6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde

  7. die betroffenen Kategorien personenbezogener Daten
    (dh ob Art-9-Daten oder Art-10-Daten betroffen sind, oder andere personenbezogene Daten)

  8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbes. eine etwaige data breach notification

  9. Einhaltung der in Bezug auf denselben Gegenstand angeordneten Maßnahmen

  10. Einhaltung von genehmigten Verhaltensregeln nach Art 40 oder genehmigten Zertifizierungsverfahren nach Art 42 

  11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste (hier werden auch technische und organisatorische Maßnahmen nach Art 24 zu berücksichtigen sein)