INFORMATIONEN

DSGVO – Was sind die Sanktionen bei Nichteinhaltung?

Mit dem Inkrafttreten der Allgemeinen Datenschutzverordnung (DSGVO) sind die Unternehmen gezwungen, die europäischen Standards für sensible Daten einzuhalten.

Diese Daten, die nach wie vor einen echten strategischen Vorteil darstellen, werden seit dem 25. Mai 2018 durch eine europäische Gesetzgebung kontrolliert, um ein einheitliches, in der gesamten Europäischen Union gültiges Gesetz zu schaffen, das den legislativen Flickenteppich beendet und allen Unternehmen einen ähnlichen Rechtsrahmen bietet.

Es ist noch anzumerken, dass die Datenschutz-Grundverordnung zwar bestimmte frühere nationale Vorschriften, wie etwa die Fristen für die Datenspeicherung, übernimmt, andere Punkte jedoch im Ermessen der einzelnen Mitgliedstaaten bleiben, wie etwa die Verfahren für die Zertifizierung und die im Falle eines Verstoßes gegen die Verordnung verhängten Strafen. In dieser Hinsicht sind die Bußgelder, die bei Nichteinhaltung der Datenschutz-Grundverordnung verhängt werden, besonders abschreckend.

Massive Strafen

Vor dem Inkrafttreten der DSGVO verhängte die französische Datenschutzbehörde CNIL Strafen von bis zu 150.000 Euro gegen Unternehmen, die sich nicht an die gesetzlichen Vorgaben für die Verwaltung sensibler Daten hielten.

Die Summen, die im Falle eines Verstoßes gegen das Allgemeine Datenschutzgesetz erreicht werden können, sind ab dem 25. Mai 2018 erheblich. Die CNIL, die dafür verantwortlich ist, dass diese Sanktionen abschreckend, aber dennoch verhältnismäßig sind, wird bei den schwersten Verstößen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes erheben. Maximal für das vorangegangene Geschäftsjahr. Gemäß Artikel 83 Absatz 5 der Datenschutz-Grundverordnung gilt der höhere der beiden Beträge.

Sanktionen nach strengen Leitlinien

Die CNIL, die für die Berechnung und Verhängung von Sanktionen in Frankreich zuständige Aufsichtsbehörde, berücksichtigt bei der Verhängung von Sanktionen gegen betrügerische Unternehmen eine Reihe von strengen Anforderungen, wie z. B.:

  • Die Anzahl der Personen, die von dem Verstoß betroffen waren;
  • Art, Schwere und Dauer der Straftat;
  • Daten, die von der Zuwiderhandlung betroffen sind;
  • Wenn der Verstoß gegen die Datenschutzgrundverordnung fahrlässig oder vorsätzlich begangen wurde;
  • Es wurden Schritte unternommen, um die Auswirkungen eines Verstoßes zu minimieren;
  • Wie die CNIL von dem oben genannten Verstoß erfahren hat (Warnung des Unternehmens selbst oder Beschwerde des Opfers).
  • Andere Sanktionen, die gemäß Artikel 84 der Datenschutz-Grundverordnung dem freien Ermessen jedes Mitgliedstaats überlassen sind, können an die Beweismittel geknüpft werden, die zur Bestimmung der Schwere des Verstoßes und damit der Höhe der verhängten Sanktion führen.

    Französische Unternehmen, die bereits von der CNIL zugelassen wurden

    Trotz der Ankündigung erheblicher Strafen bei Nichteinhaltung der Datenschutz-Grundverordnung und lange vor Inkrafttreten der DSGVO wurden einzelne Unternehmen, die sich nicht an diese neuen Rechtsvorschriften gehalten haben, bereits bestraft.

    So diente die Reihe der Optiker als Beispiel, indem sie nur wenige Tage nach Einführung der DSGVO von der CNIL streng bestraft wurde. Die französische Datenschutzkommission verhängte gegen die Organisation eine Rekordstrafe in Höhe von 250.000 EUR.

    Um diesen Fall zu klären, müssen wir ins Jahr 2017 zurückgehen. Die Strafe wurde eingeführt, als die CNIL über ein potenzielles Leck bei personenbezogenen Daten informiert wurde. Das Beispiel zeigt, dass ein Internetnutzer, der auf der Website von Optical Center surft, durch Ausnutzung einer Sicherheitslücke auf Hunderte von Rechnungen anderer Kunden zugreifen kann, z. B. auf die Sozialversicherungsnummern.

    Das Äquivalent von fast drei Millionen Dokumenten, die ohne angemessenen Datenschutz kostenlos heruntergeladen werden können, sind besonders sensible Daten. Außerdem stützte sich die CNIL bei der Verhängung der Rekordgeldbuße auf die Tatsache, dass das Optische Zentrum keinen Mechanismus in seine Website eingebaut hatte, um zu gewährleisten, dass der Kunde angemessen mit seinem persönlichen Bereich verbunden war, bevor er Zugang zu seinen Rechnungen erhielt.

    Außerdem hatte die CNIL das Optische Zentrum bereits genehmigt, was auf den ersten Sicherheitsverstoß zurückzuführen war. Diese frühere Verurteilung hat zweifelsohne einen großen Einfluss auf die zuletzt verhängte Strafe gehabt.

    Antrag auf Bestellung eines sachverständigen DSB, um Sanktionen gegen die CNIL zu entgehen

    Darüber hinaus wurden die Befugnisse der französischen Datenschutzbehörde seit dem Inkrafttreten der DSGVO erheblich ausgeweitet. Unternehmen, die ihre Websites noch nicht auf die Einhaltung der neuen Vorschriften hin überprüft haben, sollten dies so bald wie möglich tun und gegebenenfalls die erforderlichen Maßnahmen ergreifen.

    Zu diesem Zweck hat die CNIL die Ernennung eines Datenschutzbeauftragten (DSB) vorgeschrieben, dessen Aufgabe es ist, dafür zu sorgen, dass sein Arbeitgeber oder Kunde bei der Verwendung von Daten die DSGVO-Vorschriften einhält.

    Für kommerzielle Zwecke, aber auch für interne Zwecke. Wenn Sie einen fachkundigen Datenschutzbeauftragten hinzuziehen, können Sie Erfahrungen zu diesem Thema sammeln und so Ihr Unternehmen in die Lage versetzen, die DSGVO einzuhalten.

    Mitarbeiterfotos DSGVO-konform erstellen

    Woran sollten Sie denken, wenn es um Mitarbeiterfotos geht? Können sie nach der Umsetzung der DSGVO ohne weitere Änderungen erstellt werden, oder müssen Sie außergewöhnliche

    mehr »

    Sicherheit im Online-Banking

    Viele Beschäftigte im Finanzsektor sind schon seit langem mit der Digitalisierung konfrontiert. Da sich immer mehr Bankkunden bei ihren Finanzgeschäften für digitale Dienste entscheiden, ist

    mehr »