Das findest Du auf dieser Seite
Die Strafen sind sehr hoch
Das Ignorieren der DSGVO ist teuer. Die Strafen – oder wie es in der DSGVO heißt, „Sanktionen“ können Euro 20 Mio. oder 4% des weltweiten Jahresumsatzes des Unternehmens betragen. Die Höhe der Geldbuße wird im Art.83/5+6 DSGVO angegeben. Die Geldbuße wird von der Behörde festgelegt.
10 oder 20 Mio?
10 Millionen bei Verstößen gegen:
- Bestimmungen in der Technik (privacy by default)
- kein Verzeichnis der Verarbeitungstätigkeiten
- Datenschutzfolgeabschätzung bzw. Datensicherheitsbestimmungen
- die Regelungen rund um den Auftragsverarbeiter
20 Millionen sind es bei dieser Art der Verletzungen:
- von Rechten der Betroffenen
- beim Internationalen Datenverkehr
- der Grundsätze der rechtmäßigen Datenverarbeitung
Übersicht über die Bemessungskriterien
- wie schwer war der Verstoß und wie lange hat er angedauert
- absichtlich oder unabsichtlich?
- gab es bereits frühere Verstöße?
- wurde und wird mit der Behörde zusammengearbeitet, um den Schaden zu begrenzen?
- wurden bereits angeordnete Maßnahmen eingehalten?
- welche Kategorien von personenbezogenen Daten sind betroffen?
- gab es durch den Verstoß einen finanziellen Vorteil?
Achtung! Das „Nichts-Tun“ ist Deine größte Gefahr für eine ordentliche Strafe!
andere Sanktionen?
Es gibt noch andere Sanktionen.
Die Behörde kann ein zeitlich begrenztes Verbot Deiner Datenverarbeitung aussprechen. Je nach Schwere, kann auch ein endgültiges Verbot ausgesprochen werden. Das bedeutet, dass der Betrieb stillgelegt wird. Aber da muss schon einiges schief gelaufen sein. Und dann gibt es noch die Gewinnabschöpfung.
Die Mitgliedstaaten können andere oder weitere Strafen festsetzen. Sie müssen aber wirksam und abschreckend sein.
gibt es noch weitere Folgen?
Noch nicht genug Schaden? Dann solltest Du auch an die Schadenersatzforderung der in ihren Rechten verletzten Personen denken.
Der Betroffene hat ein Klagerecht! Das heißt er kann Schäden einklagen. Und diese können materiell oder immateriell sein. Wenn so eine Klage ins Haus flattert, musst Du nachweisen, dass Du den Schaden nicht verursacht hast. Möglicherweise ist diese Forderung höher als die Strafe der Behörde!
noch weitere Folgen ?
Hast Du an die Meldung an die Datenschutzbehörde gedacht, die bei einer Datenschutzverletzung zwingend vorgeschrieben ist?
Im Falle einer Datenschutzverletzung bist Du auch verpflichtet, die Betroffenen zu informieren. Und wenn Du die nicht kennst, musst Du ein Inserat schalten („öffentlich bekannt machen“).
Wo kein Kläger ...
Kommt da eine Datenschutz-Fahndung?
Woher soll nun jemand wissen, dass meine Datenverarbeitung schlampig ist?
Die Behörde kann von sich aus eine Überprüfung bei Dir machen. Wie das im Detail dann aussehen wird, wird die Praxis zeigen. Du kannst Dich selbst anzeigen, oder Du hast eine Datenschutzverletzung die, meldepflichtig ist. Was häufiger der Fall sein wird, sind unzufriedene Mitarbeiter, Kunden und vielleicht Lieferanten, die sich bei der Aufsichtsbehörde beschweren. Aber auch Konkurrenten könnten eine Überprüfung durch die Behörde in Gang bringen.
Vielleicht auch durch einen Journalisten, der über die Presse einen geheim gehaltenen Vorfall berichtet.
