Erste EU-DSGVO Bußgelder für Unternehmen

Bei einem Verstoß gegen die EU-DSGVO drohen seit dem 25.05.2018 Sanktionen: Wir stellen Ihnen die ersten betroffenen Fälle und die Bemessungskriterien für Verstöße vor

In Frankreich muss Google eine Strafe von 50 Millionen Euro zahlen. Die Datenschutzbehörde stellte fest, dass Informationen zur Verwendung der erhobenen Daten und dem Speicherzeitraum für die Nutzer nicht ausreichend einfach zugänglich sei. Zudem sei die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung aus ihrer Sicht nicht gültig.

Auch in Deutschland kam es schon zu einem ersten Bußgeld: Die Chatplattform knuddels.de wurde mit 20.000 Euro zur Kasse gebeten. Das Unternehmen hatte Passwörter seiner Kunden im Klartext auf seinem Unternehmensserver gespeichert. Daraufhin landeten aufgrund eines Hacks mehr als 800.000 E-Mail-Adressen samt Passwörtern auf einer Filesharing-Website. Die Kooperation mit der Landesdatenschutzbehörde Baden-Württemberg ließ das Bußgeld für das Unternehmen gering ausfallen.

Bemessungskriterien für Verstöße nach der EU-DSGVO

Die Sanktionen sollen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Gemäß Art 84 EU-DSGVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Zur Bemessung der Sanktion gibt es einen Katalog mit Kriterien in Art. 83 Abs. 2 (1) bis (11) EU-DSGVO.

Welche Bemessungskriterien beinhaltet der Katalog des Art. 83?

  1. Art, Schwere und Dauer des Verstoßes
  2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  3. getroffenen Maßnahmen zur Minderung des  entstandenen Schadens
  4. Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
  5. etwaige einschlägige frühere Verstöße
  6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde
  7. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Selbstanzeige
  9. Einhaltung früher angeordneter Maßnahmen
  10. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42
  11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangten finanzielle Vorteile oder vermiedene Verluste

Der Art. 83 Abs. 2 (10) zeigt auf, dass genehmigte Zertifizierungsverfahren bzw. ein akkreditiertes Zertifikat, das die Einhaltung der EU-DSGVO bestätigt, Ihr Unternehmen vor hohen Bußgeldern bewahren kann.

Pre-Check der GUTcert zu Ihrem Erfüllungsstand der Anforderungen

Die GUTcert ist derzeit im Verband der akkreditierten Zertifizierer (VAZ) an der Erarbeitung eines solchen Zertifizierungsverfahrens beteiligt. Doch schon jetzt können wir Ihnen einen auf Sie zugeschnittenen Pre-Check anbieten. Ergebnis ist ein aussagekräftiger Bericht von der GUTcert mit einer Übersicht zum Erfüllungsstand der Anforderungen zur EU-DSGVO. Dieser unterstützt Sie bei der weiteren Ausgestaltung und Optimierung Ihres Datenschutzsystems. Sie haben Interesse? Dann hilft Ihnen Herr Neno Rieger, Produktverantwortlicher Datenschutz, gerne weiter.

Seminare der GUTcert Akademie helfen bei der Umsetzung der EU-DSGVO

Wer als Mitarbeiter Verantwortung für die Umsetzung der Vorgaben aus EU-DSGVO und BDSG-neu übernimmt und hierfür die nötige Qualifikation erwerben möchte, kann dies in dem Kurs „Datenschutzbeauftragter nach EU-DSGVO“ erreichen.

Im Kurs „EU-DSGVO kompakt: Rechtslage und Umsetzung für kleine Unternehmen“ erlernen Sie die Anforderungen der EU-DSGVO und erarbeiten anhand einer Checkliste die relevanten Maßnahmen für Ihr Unternehmen. So können Sie die Anforderungen für die betriebliche Praxis umsetzen und sichern Ihre Organisation gegen Klagen und Bußgelder ab.

Zurück