Bußgelder: Unterschied zwischen den Versionen

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: „'''Bußgelder''' sind aus Sicht der DSGVO eine deutsche Ausformung der allgemeineren Begriffe '''Geldbußen''' und '''Sanktionen'''. == Sanktionen in der DSGV…“)
 
(2019: ++)
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 181: Zeile 181:
 
;5. Sonstige für und gegen den Betroffenen sprechenden Umstände
 
;5. Sonstige für und gegen den Betroffenen sprechenden Umstände
 
:Der unter 4. errechnete Betrag wird anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des [[DSGVO:Art. 83|Art. 83]] Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.
 
:Der unter 4. errechnete Betrag wird anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des [[DSGVO:Art. 83|Art. 83]] Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.
 +
 +
===== Rezeption =====
 +
Kritiker bemängeln am Konzept der DSK aus dem Herbst 2019, dass das Prinzip der Verhältnismäßigkeit aus Art. 83 Abs. 1 DSGVO in Bezug zu Tat und Schuld nicht ausreichend Berücksichtigung fände.<ref>Tim Wybitul: [https://www.lto.de/recht/hintergruende/h/datenschutzkonferenz-testet-neues-bussgeldmodell-unverhaeltnismaessig-hohe-bussgelder/''EU-Datenschutzgrundverordnung. Daten­schützer testen neues Buß­geld­mo­dell.'' In: LTO.de vom 20.09.2019.</ref>
  
 
===== Berlin =====
 
===== Berlin =====
Zeile 199: Zeile 202:
  
 
== Praxis ==
 
== Praxis ==
=== Europa ===
+
=== Europa (ohne Deutschland) ===
  
 
==== 2019 ====
 
==== 2019 ====
 
* Polen, 2019: 644.000 € gegen den Netzladen Morele.net. Ein Hackerangriff griff Daten von 2,2 Millionen Kunden ab und offenbarte unzureichende [[TOM]]. Zu den betroffenen Daten gehörten unter anderem die Kontaktdaten sowie in einigen Fällen Daten aus Ratenkreditanträgen.<ref name="DSBInfo201909"/>
 
* Polen, 2019: 644.000 € gegen den Netzladen Morele.net. Ein Hackerangriff griff Daten von 2,2 Millionen Kunden ab und offenbarte unzureichende [[TOM]]. Zu den betroffenen Daten gehörten unter anderem die Kontaktdaten sowie in einigen Fällen Daten aus Ratenkreditanträgen.<ref name="DSBInfo201909"/>
 +
* Frankreich, 21.01.2019: 50 Mio. €. Informationspflicht verletzt, Werbezustimmung ungültig nach Beschwerden von LQDN sowie <abbr title="None Of Your Business">NOYB</abbr> des bekannten Facebook-Kritikers Max Schrems.<ref>dpa/mgö/LTO-Redaktion [https://www.lto.de/recht/nachrichten/n/dsgvo-bussgeld-strafe-frankreich-google-informationen/ ''50 Mil­lionen Euro Buß­geld für Google.''] In: LTO.de vom 22.01.2019.</ref>
 +
* Vereinigtes Königreich, 08.07.2019: 204 Mio. € (£183.39M). British Airways wurden unzureichende TOM vorgeworfen, nachdem rund 500.000 Benutzer von einer Unternehmensseite auf eine gefälschte Seiten umgelenkt worden waren, wo ihre Daten abgegriffen wurden.<ref>https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/</ref>
 +
* Vereinigtes Königreich, 09.07.2019: 110 Mio. €. Marriott International wird vorgeworfen, einen Datenverlust nicht angezeigt und nach dem Erwerb einer Tochter nicht ausreichend Anstrengungen zur Verbesserung von deren Datenschutz unternommen zu haben. Rund 360 Mio. Gästedaten der 2016 erworbenen Tochter Starwood waren seit 2014 ungeschützt zugänglich, was erst 2018 entdeckt wurde.<ref>https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/</ref>
 +
* Österreich,  28.10.2019:  18 Mio €. Der Öfterreichische Post wird aufgrund von Recherchen „Addendum“ vorgeworfen, Aus Wohnort und Alter Parteiaffinitäten gefolgert sowie zu Paketfrequenzen und der Häufigkeit von Umzügen zum Zweck des Direktmarketings gesammelt zu haben<ref>https://wien.orf.at/stories/3019396/</ref><ref>https://kurier.at/chronik/oesterreich/post-in-der-causa-datenskandal-verurteilt/400660373</ref>
  
 
==== Netzverweise ====
 
==== Netzverweise ====
Zeile 209: Zeile 216:
 
=== Deutschland ===
 
=== Deutschland ===
 
Die Beispiele sind zeitlich geordnet, um Entwicklungen abschätzen zu können. Das jeweilige Bundesland wird vorangestellt, um Unterschiede innerhalb Deutschlands erkennbar zu machen.
 
Die Beispiele sind zeitlich geordnet, um Entwicklungen abschätzen zu können. Das jeweilige Bundesland wird vorangestellt, um Unterschiede innerhalb Deutschlands erkennbar zu machen.
 +
 +
==== 2018 ====
 +
* Baden-Württemberg, 22.11.2018: 20.000 € gegen Chat-Portal Knuddels.de. Bei Hackerangriff wurden Benutzerdaten von 330.000 Nutzern erbeutet und veröffentlicht. Selbstanzeige wurde strafmildernd berücksichtigt. <ref>tik/LTO-Redaktion: [https://www.lto.de/recht/nachrichten/n/knuddels-datenschutz-hacker-bussgeld-kooperation/ ''LDI BW verhängt erstes Bußgeld nach der DSGVO. Daten­schutz­ver­fahren gegen Knud­dels abge­sch­lossen .''] In. LTO.de vom 22.11.2018.</ref>
  
 
==== 2019 ====
 
==== 2019 ====

Aktuelle Version vom 8. November 2019, 15:30 Uhr

Bußgelder sind aus Sicht der DSGVO eine deutsche Ausformung der allgemeineren Begriffe Geldbußen und Sanktionen.

Sanktionen in der DSGVO

Art. 83 DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des Vorjahresumsatzes vor ─ je nachdem welche Zahl höher ist.

Überblick zu Bußgeldern aus deutscher Sicht

Die DSGVO regelt Bußgelder etwas allgemeiner im Kapitel VIII - Rechtsbehelfe, Haftung und Sanktionen. Diese werden vor allem in den Erwägungsgründen 141 bis 152 erläutert. Konkret Bußgelder sind für Deuschland in Kapitel 5 - Sanktionen, den §§ 41 ff. BDSG geregelt.

Vorläufiges deutsches Sanktionskonzept

Vorläufiges Konzept zur Bemessung der Bußgelder der DSK im Bereich von Unternehmen, nicht für Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit und ohne Verbindlichkeit für Gerichte.[1][2]:

1. Kategorisierung der Unternehmen nach Größenklassen/Jahresumsatz, vgl Art. 86 Abs. 4 bis 6 DSGVO, EG 150
Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) Großunternehmen
Kleinstunternehmen Kleine Unternehmen Mittlere Unternehmen
A B C D
Jahresumsatz <= 2 Mio. € > 2 Mio. € bis 10 Mio. € > 10 bis 50 Mio. € > 50 Mio €
A.I <= 700.000 € B.I > 2 Mio. € bis 5 Mio. € C.I > 10 Mio. € bis 12,5 Mio. € D.I > 50 Mio. € bis 75 Mio. €
A.II > 700.000 € bis 1,4 Mio. € B.II > 5 Mio. € bis 7,5 Mio. € C.II >12,5 Mio € bis 15 Mio. € D.II > 75 Mio. € bis 100 Mio. €
A.III > 1,4 Mio. € bis 2 Mio.€ B.III > 7,5 Mio. € bis 10 Mio. € C.III > 15 Mio. € bis 20 Mio. € D.III > 100 Mio. € bis 200 Mio. €
C.IV > 20 Mio. € bis 25 Mio. € D.IV > 200 Mio. € bis 300 Mio. €
C.V > 25 Mio. € bis 30 Mio. € D.V > 300 Mio. € bis 400 Mio. €
C.VI > 30 Mio. € bis 40 Mio. € D.VI > 400 Mio. € bis 500 Mio. €
C.VII > 40 Mio. € bis 50 Mio. € D.VII > 500 Mio. €
2. Mittlerer Jahresumsatzes der jeweiligen Untergruppe der Größenklasse (also Umsatz in Verbindung mit Unternehmenskategorie wie Kleinstunternehmen, kleines und mittleres Unternehmen etc.)
Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) Großunternehmen
Kleinstunternehmen Kleine Unternehmen Mittlere Unternehmen
A B C D
Jahresumsatz A.I 350.000 € B.I 3,5 Mio. € C.I 11,25 Mio. € D.I 62,5 Mio. €
A.II 1.050 Mio.€ B.II 6,25 Mio. € C.II 13,75 Mio. € D.II 87,5 Mio. €
A.III 1,7 Mio.€ B.III 8,75 Mio. € C.III 17,5 Mio. € D.III 150 Mio. €
C.IV > 22,5 Mio. € D.IV > 250 Mio. €
C.V > 27,5 Mio. € D.V > 350 Mio. €
C.VI > 35 Mio. € D.VI > 450 Mio. €
C.VII > 45 Mio. € D.VII > konkreter Jahresumsatz[3]
3. Ermittlung des wirtschaftlichen Grundwertes (mittlerer Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt)
Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) Großunternehmen
Kleinstunternehmen Kleine Unternehmen Mittlere Unternehmen
A B C D
Jahresumsatz A.I 972€ B.I 9.722 € C.I 31.250 € D.I 173.611 €
A.II 2.917 € B.II 17.361 € C.II 38.194 € D.II 243.056 €
A.III 4.722 € B.III 24.306 € C.III 48.611 € D.III 416.667 €
C.IV > 62.500 € D.IV > 694.444 €
C.V > 76.389 € D.V > 972.222 €
C.VI > 97.222 € D.VI > 1,25 Mio. €
C.VII > 125.000 Mio. € D.VII > konkreter Tagessatz[4]
4. Vervielfältigung des Grundwertes nach Schweregrad der Tat (leicht bis sehr schwer, wobei die Art des Verstoßes berücksichtigt wird)
Im Hinblick auf die unterschiedlichen Bußgeldrahmen sind dabei für formelle (Art. 83 Abs. 4 DSGVO) und materielle (Art. 83 Abs. 5, 6 DSGVO) Verstöße jeweils unterschiedliche Faktoren zu wählen.
Schweregrad der Tat Faktor für formelle Verstöße
nach Art. 83 Abs. 4 DSGVO
Faktor für materielle Verstöße
gemäß § [sic!] 83 Abs. 5, 6 DSGVO
Leicht 1 bis 2 1 bis 4
Mittel 2 bis 4 4 bis 8
Schwer 4 bis 6 8 bis 12
Sehr Schwer [sic!] > 6 > 12
5. Sonstige für und gegen den Betroffenen sprechenden Umstände
Der unter 4. errechnete Betrag wird anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.
Rezeption

Kritiker bemängeln am Konzept der DSK aus dem Herbst 2019, dass das Prinzip der Verhältnismäßigkeit aus Art. 83 Abs. 1 DSGVO in Bezug zu Tat und Schuld nicht ausreichend Berücksichtigung fände.[5]

Berlin

Im Land Berlin berücksichtigte Umstände[1]:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung unter Berücksichtigung der getroffenen TOM
  • etwaige einschlägige frühere Verstöße
  • Qualität der Zusammenarbeit mit der Aufsichtsbehörde zum Schutz der Betroffenen
  • betroffene Kategorien personenbezogener Daten
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Mitteilung durch das Unternehmen
  • Frühere Anordungen in derselben Sache
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
  • sonstige erschwerende oder mildernden Umstände, wie etwa finanzielle Vorteile oder vermiedene Verluste

andere nationale Gesetzgebung in Europa

Praxis

Europa (ohne Deutschland)

2019

  • Polen, 2019: 644.000 € gegen den Netzladen Morele.net. Ein Hackerangriff griff Daten von 2,2 Millionen Kunden ab und offenbarte unzureichende TOM. Zu den betroffenen Daten gehörten unter anderem die Kontaktdaten sowie in einigen Fällen Daten aus Ratenkreditanträgen.[6]
  • Frankreich, 21.01.2019: 50 Mio. €. Informationspflicht verletzt, Werbezustimmung ungültig nach Beschwerden von LQDN sowie NOYB des bekannten Facebook-Kritikers Max Schrems.[7]
  • Vereinigtes Königreich, 08.07.2019: 204 Mio. € (£183.39M). British Airways wurden unzureichende TOM vorgeworfen, nachdem rund 500.000 Benutzer von einer Unternehmensseite auf eine gefälschte Seiten umgelenkt worden waren, wo ihre Daten abgegriffen wurden.[8]
  • Vereinigtes Königreich, 09.07.2019: 110 Mio. €. Marriott International wird vorgeworfen, einen Datenverlust nicht angezeigt und nach dem Erwerb einer Tochter nicht ausreichend Anstrengungen zur Verbesserung von deren Datenschutz unternommen zu haben. Rund 360 Mio. Gästedaten der 2016 erworbenen Tochter Starwood waren seit 2014 ungeschützt zugänglich, was erst 2018 entdeckt wurde.[9]
  • Österreich, 28.10.2019: 18 Mio €. Der Öfterreichische Post wird aufgrund von Recherchen „Addendum“ vorgeworfen, Aus Wohnort und Alter Parteiaffinitäten gefolgert sowie zu Paketfrequenzen und der Häufigkeit von Umzügen zum Zweck des Direktmarketings gesammelt zu haben[10][11]

Netzverweise

Auf http://enforcementtracker.com/ kann man einige europäische Sanktionen finden.

Deutschland

Die Beispiele sind zeitlich geordnet, um Entwicklungen abschätzen zu können. Das jeweilige Bundesland wird vorangestellt, um Unterschiede innerhalb Deutschlands erkennbar zu machen.

2018

  • Baden-Württemberg, 22.11.2018: 20.000 € gegen Chat-Portal Knuddels.de. Bei Hackerangriff wurden Benutzerdaten von 330.000 Nutzern erbeutet und veröffentlicht. Selbstanzeige wurde strafmildernd berücksichtigt. [12]

2019

  • Berlin, 23.09.2019: 195.407 € gegen Takeaway.com (Rechtsnachfolger von Delivery Hero SE). Das Unternehmen hat die Strafe bereits akzeptiert. Zuvor hatten Kunden unerwünschte Werbe-E-Post erhalten. Das Unternehmen hatte Konten ehemaliger Kunden nicht gelöscht und mehrfach das Auskunftsrecht missachtet.[6]
  • Berlin, September 2019: 50.000 € gegen Netzbank N26[1]
  • Berlin, 05.11.2019; 14,5 Mio € gegen Deutsche Wohnen wegen unzulässiger Speicherung von Mieterselbstauskünften über den Mietvertragsschluss hinaus und trotz mehrfacher Aufforderung, dieses Verhalten abzustellen.[13]
  • ^ a b c Oliver Schonschek: Wie die Bußgelder nach DSGVO bemessen werden sollen. vom 4. November 2019.
  • ^ DSK: Konzept der unabhängigen Datenschutzaufsichtsbehörden desBundes und der Länder zur Bußgeldzumessungin Verfahren gegen Unternehmen vom 14.10.2019
  • ^ Ab einem jährlichen Umsatz von über 500 Mio. € ist der prozentuale Bußgeldrahmen von 2 % bzw. 4 % des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.
  • ^ Ab einem jährlichen Umsatz von über 500 Mio. € ist der prozentuale Bußgeldrahmen von 2 % bzw. 4 % des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.
  • ^ Tim Wybitul: [https://www.lto.de/recht/hintergruende/h/datenschutzkonferenz-testet-neues-bussgeldmodell-unverhaeltnismaessig-hohe-bussgelder/EU-Datenschutzgrundverordnung. Daten­schützer testen neues Buß­geld­mo­dell. In: LTO.de vom 20.09.2019.
  • ^ a b https://www.datenschutzbeauftragter-info.de/berliner-bfdi-rekordbussgelder-fuer-missachtung-der-betroffenenrechte/
  • ^ dpa/mgö/LTO-Redaktion 50 Mil­lionen Euro Buß­geld für Google. In: LTO.de vom 22.01.2019.
  • ^ https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
  • ^ https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
  • ^ https://wien.orf.at/stories/3019396/
  • ^ https://kurier.at/chronik/oesterreich/post-in-der-causa-datenskandal-verurteilt/400660373
  • ^ tik/LTO-Redaktion: LDI BW verhängt erstes Bußgeld nach der DSGVO. Daten­schutz­ver­fahren gegen Knud­dels abge­sch­lossen . In. LTO.de vom 22.11.2018.
  • ^ https://www.spiegel.de/wirtschaft/soziales/deutsche-wohnen-soll-14-5-millionen-euro-strafe-zahlen-a-1294968.html