Prof. Dr. Kai Cornelius - Verstoß gegen die DSGVO - Was droht tatsächlich?
Prof. Dr. Kai Cornelius zeigt, welche Rechtsfolgen bei Verstößen gegen die DSGVO tatsächlichen drohen und an welchen Stellen noch Diskussionen zu erwarten sind.
Aufsichtsbehörden • Auflagen • Warnung • Verwarnung Sanktionen • Bußgelder • Freiheitsstrafen A. Überblick Prof. Dr. Kai Cornelius, LL.M. | Universität Regensburg 3
Verschärfung der Sanktionen (Art. 83 DSVO) o Höhe der Bußgeldandrohung (max. 20 Mio € oder im Falle eines Unternehmens 4 % des weltweiten Jahresumsatzes) o Ausweitung der Haftungstatbestände § Neugestaltung des nationalen Rechts o Freiheitsstrafen nur auf der Grundlage nationalen Rechts § Modell der unmittelbaren Verbandshaftung 4 A. Überblick
6 Bußgelder Unionsrecht Verstöße gegen formelle Regelungen (10 Mio € oder 2 % des weltweiten Jahresumsatzes) Verstöße gegen materielle Regelungen Nationales Recht • Verstöße von Verantwortlichen und Auftrags(daten)verarbeitern, Art. 83 Abs. 4 a) DSGVO o Pflichten der Verantwortlichen und Auftragsdaten- verarbeiter gem. Art. 8, 11, 25-39, 42 und 43 DSGVO Beispiele: • Verletzung der Bedingungen für die Einwilligung eines Kindes • Verstöße gegen einen dem Stand der Technik entsprechenden Datenschutz (privacy by design, privacy by default) • Keine Benennung eines Vertreters • Kein/Unrichtiges Verzeichnis von Verarbeitungstätigkeiten Beispiele: • Unzureichende Zusammenarbeit mit den Aufsichtsbehörden • Nichtbeachtung der Sicherheit der Verarbeitung • Missachtung der Pflichten zur Meldung an Aufsichtsbehörde und der Benachrichtigung Betroffener bei Datenschutzverletzungen • Fehlerhafte Datenschutz- Folgenabschätzung/Konsultation mit der Datenschutzbehörde • Verletzungen der Vorschriften über den Datenschutzbeauftragten
7 Bußgelder Unionsrecht Verstöße gegen formelle Regelungen Verstöße gegen materielle Regelungen (20 Mio € oder 4 % des weltweiten Jahresumsatzes) Nationales Recht Verstöße gegen die • Grundsätze der Datenverarbeitung (Art. 5, 6, 7 und 9) • Rechte der betroffenen Person (Art. 12-22) • Datenübermittlung an Drittländer/int. Organisationen (Art. 44-49) • Vorschriften für besondere Verarbeitungssituationen • Anweisungen der Aufsichtsbehörden Gebot der Normenklarheit?
8 Bußgelder Unionsrecht Nationales Recht o § 43 Abs. 1 BDSG 2018 o Verstöße gegen Auskunfts- und Unterrichtungspflichten bei Verbraucherkredit- geschäften Konsequenz: Geldbuße bis 50.000 €
Unternehmen Privatpersonen Einzelfragen • Art, Schwere und Dauer des Verstoßes • Vorsatz oder Fahrlässigkeit • Schadensminderungsmaßnahmen • Grad der Verantwortung unter Berücksichtigung der TOM gem. Art. 25 und 32 • Etwaige frühere Verstöße • Kooperation mit der Aufsichtsbehörde • Sensibilität der vom Verstoß betroffenen personenbezogenen Daten • Art und Weise, der Kenntniserlangung durch die Aufsichtsbehörde • Einhaltung angeordneter Maßnahmen • Einhaltung von Verhaltensregeln • Erlangte Vorteile/vermiedene Verluste C. Kriterien bei der Festsetzung der Geldbuße
Unternehmen Privatpersonen Einzelfragen • Unternehmen haftet für Handlungen sämtlicher Mitarbeiter (unmittelbare Verbandshaftung) • Kartellrechtlicher Unternehmensbegriff? • Datenschutzrechtliche Einheit als Haftungsgesamtheit? C. Kriterien bei der Festsetzung der Geldbuße
Unternehmen Privatpersonen Einzelfragen • Berücksichtigung • des allgemeinen Einkommensniveaus in dem betreffenden Mitgliedstaat • der wirtschaftlichen Lage des Sanktionsadressaten C. Kriterien bei der Festsetzung der Geldbuße
Unternehmen Privatpersonen Einzelfragen • Opportunitätsprinzip (str.) • Verschulden • Umkehrung der Beweislast C. Kriterien bei der Festsetzung der Geldbuße
13 Sanktionen Bußgelder Freiheitsstrafen • § 42 Abs. 1 BDSG 2018 o Wissentliches gewerbsmäßiges unberechtigtes Übermitteln / Zugänglichmachen personenbezogener Daten Konsequenz: Freiheitsstrafe bis zu drei Jahren oder Geldstrafe • § 42 Abs. 2 BDSG 2018 o Unberechtigte Verarbeitung / Erschleichung personenbezogener Daten durch unrichtige Angaben o gegen Entgelt oder o mit Bereicherungs- bzw. Schädigungsabsicht Konsequenz: Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe
14 • Sanktionsregime des Art. 83 DSGVO führt zu einer erheblichen Erhöhung des Bußgeldrahmens • Kartellrechtlicher Unternehmensbegriff • Doppelrelevanz von privacy by design and default sowie der Vorgaben für Sicherheitsmaßnahmen bei der Datenverarbeitung • Komplexe materiell-rechtliche Fragen mit vielfach abstrakten Rechtsbegriffen • Einbeziehung eines positiven Nachtatverhaltens zur Schaffung von Milderungsgründen