Prof. Dr. Kai Cornelius - Verstoß gegen die DSGVO - Was droht tatsächlich?

Transcript

1. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg Verstoß gegen

   die DSGVO Was droht tatsächlich?

2. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg § A)

   Überblick § B) Bußgelder § C) Kriterien bei der Bestimmung der Geldbußen § D) Freiheitsstrafen § E) Fazit 2 Worum geht es?

3. Was droht tatsächlich? Schadensersatz- ansprüche • Zivilrechtlicher Ausgleich Maßnahmen der

   Aufsichtsbehörden • Auflagen • Warnung • Verwarnung Sanktionen • Bußgelder • Freiheitsstrafen A. Überblick Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg 3

4. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg § Erhebliche

   Verschärfung der Sanktionen (Art. 83 DSVO) o Höhe der Bußgeldandrohung (max. 20 Mio € oder im Falle eines Unternehmens 4 % des weltweiten Jahresumsatzes) o Ausweitung der Haftungstatbestände § Neugestaltung des nationalen Rechts o Freiheitsstrafen nur auf der Grundlage nationalen Rechts § Modell der unmittelbaren Verbandshaftung 4 A. Überblick

5. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg B. Bußgelder

   5 Sanktionen Bußgelder Unionsrecht Nationales Recht Freiheitsstrafen

6. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg B. Bußgelder

   6 Bußgelder Unionsrecht Verstöße gegen formelle Regelungen (10 Mio € oder 2 % des weltweiten Jahresumsatzes) Verstöße gegen materielle Regelungen Nationales Recht • Verstöße von Verantwortlichen und Auftrags(daten)verarbeitern, Art. 83 Abs. 4 a) DSGVO o Pflichten der Verantwortlichen und Auftragsdaten- verarbeiter gem. Art. 8, 11, 25-39, 42 und 43 DSGVO Beispiele: • Verletzung der Bedingungen für die Einwilligung eines Kindes • Verstöße gegen einen dem Stand der Technik entsprechenden Datenschutz (privacy by design, privacy by default) • Keine Benennung eines Vertreters • Kein/Unrichtiges Verzeichnis von Verarbeitungstätigkeiten Beispiele: • Unzureichende Zusammenarbeit mit den Aufsichtsbehörden • Nichtbeachtung der Sicherheit der Verarbeitung • Missachtung der Pflichten zur Meldung an Aufsichtsbehörde und der Benachrichtigung Betroffener bei Datenschutzverletzungen • Fehlerhafte Datenschutz- Folgenabschätzung/Konsultation mit der Datenschutzbehörde • Verletzungen der Vorschriften über den Datenschutzbeauftragten

7. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg B. Bußgelder

   7 Bußgelder Unionsrecht Verstöße gegen formelle Regelungen Verstöße gegen materielle Regelungen (20 Mio € oder 4 % des weltweiten Jahresumsatzes) Nationales Recht Verstöße gegen die • Grundsätze der Datenverarbeitung (Art. 5, 6, 7 und 9) • Rechte der betroffenen Person (Art. 12-22) • Datenübermittlung an Drittländer/int. Organisationen (Art. 44-49) • Vorschriften für besondere Verarbeitungssituationen • Anweisungen der Aufsichtsbehörden Gebot der Normenklarheit?

8. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg B. Bußgelder

   8 Bußgelder Unionsrecht Nationales Recht o § 43 Abs. 1 BDSG 2018 o Verstöße gegen Auskunfts- und Unterrichtungspflichten bei Verbraucherkredit- geschäften Konsequenz: Geldbuße bis 50.000 €

9. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg 9 Höhe

   Unternehmen Privatpersonen Einzelfragen • Art, Schwere und Dauer des Verstoßes • Vorsatz oder Fahrlässigkeit • Schadensminderungsmaßnahmen • Grad der Verantwortung unter Berücksichtigung der TOM gem. Art. 25 und 32 • Etwaige frühere Verstöße • Kooperation mit der Aufsichtsbehörde • Sensibilität der vom Verstoß betroffenen personenbezogenen Daten • Art und Weise, der Kenntniserlangung durch die Aufsichtsbehörde • Einhaltung angeordneter Maßnahmen • Einhaltung von Verhaltensregeln • Erlangte Vorteile/vermiedene Verluste C. Kriterien bei der Festsetzung der Geldbuße

10. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg 10 Höhe

    Unternehmen Privatpersonen Einzelfragen • Unternehmen haftet für Handlungen sämtlicher Mitarbeiter (unmittelbare Verbandshaftung) • Kartellrechtlicher Unternehmensbegriff? • Datenschutzrechtliche Einheit als Haftungsgesamtheit? C. Kriterien bei der Festsetzung der Geldbuße

11. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg 11 Höhe

    Unternehmen Privatpersonen Einzelfragen • Berücksichtigung • des allgemeinen Einkommensniveaus in dem betreffenden Mitgliedstaat • der wirtschaftlichen Lage des Sanktionsadressaten C. Kriterien bei der Festsetzung der Geldbuße

12. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg 12 Höhe

    Unternehmen Privatpersonen Einzelfragen • Opportunitätsprinzip (str.) • Verschulden • Umkehrung der Beweislast C. Kriterien bei der Festsetzung der Geldbuße

13. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg D. Freiheitsstrafen

    13 Sanktionen Bußgelder Freiheitsstrafen • § 42 Abs. 1 BDSG 2018 o Wissentliches gewerbsmäßiges unberechtigtes Übermitteln / Zugänglichmachen personenbezogener Daten Konsequenz: Freiheitsstrafe bis zu drei Jahren oder Geldstrafe • § 42 Abs. 2 BDSG 2018 o Unberechtigte Verarbeitung / Erschleichung personenbezogener Daten durch unrichtige Angaben o gegen Entgelt oder o mit Bereicherungs- bzw. Schädigungsabsicht Konsequenz: Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe

14. Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg E. Fazit

    14 • Sanktionsregime des Art. 83 DSGVO führt zu einer erheblichen Erhöhung des Bußgeldrahmens • Kartellrechtlicher Unternehmensbegriff • Doppelrelevanz von privacy by design and default sowie der Vorgaben für Sicherheitsmaßnahmen bei der Datenverarbeitung • Komplexe materiell-rechtliche Fragen mit vielfach abstrakten Rechtsbegriffen • Einbeziehung eines positiven Nachtatverhaltens zur Schaffung von Milderungsgründen