Art.83 - DSGVO - Allgemeine Bedingungen für die Verhängung von Geldbußen
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 15.06.2015 | Stand: 27.04.2016 |
|
Datenverarbeitung zu historischen oder statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung |
Ausnahmen in Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke und zu wissenschaftlichen, statistischen und historischen Zwecken | Allgemeine Bedingungen für die Verhängung von Geldbußen | |
|
1. In den Grenzen dieser Verordnung dürfen personenbezogene Daten nur dann zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung verarbeitet werden, wenn |
1. Gemäß den Vorschriften dieser Verordnung dürfen personenbezogene Daten nur dann zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung verarbeitet werden, wenn |
1. Werden personenbezogene Daten zu wissenschaftlichen, statistischen oder historischen Zwecken verarbeitet, so können im Unionsrecht oder im Recht der Mitgliedstaaten vorbehaltlich angemessener Garantien für die Rechte und Freiheiten der betroffenen Person Ausnahmen von Artikel 14a Absätze 1 und 2 und den Artikeln 15, 16, 17, 17a, 17b, 18 und 19 vorgesehen werden, insofern eine solche Ausnahme für die Erfüllung der spezifischen Zwecke erforderlich ist. |
1. Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. |
|
|
|
1a. Werden personenbezogene Daten zu im öffentlichen Interesse liegenden Archivzwecken verarbeitet, so können im Unionsrecht oder im Recht der Mitgliedstaaten vorbehaltlich angemessener Garantien für die Rechte und Freiheiten der betroffenen Person Ausnahmen von Artikel 14a Absätze 1 und 2, den Artikeln 15, 16, 17, 17a, 17b, 18, 19, 23, 32 und 33 sowie von Artikel 53 Absatz 1b Buchstaben d und e vorgesehen werden, insofern eine solche Ausnahme für die Erfüllung dieser Zwecke erforderlich ist. |
2. Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. |
|
|
|
1b. Falls eine der in den Absätzen 1 und 1a genannten Verarbeitungsarten gleichzeitig einem anderen Zweck dient, dürfen die zulässigen Ausnahmen nur für die Verarbeitung zu den in jenen Absätzen genannten Zwecken gelten. |
3. Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. |
|
a) diese Zwecke nicht auf andere Weise durch die Verarbeitung von Daten erfüllt werden können, die eine Bestimmung der betroffenen Person nicht oder nicht mehr ermöglichen; |
a) diese Zwecke nicht auf andere Weise durch die Verarbeitung von Daten erfüllt werden können, die eine Bestimmung der betroffenen Person nicht oder nicht mehr ermöglichen; |
(entfällt) |
4. Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4. |
|
b) Daten, die die Zuordnung von Informationen zu einer bestimmten oder bestimmbaren betroffenen Person ermöglichen, von den übrigen Informationen getrennt aufbewahrt werden, sofern diese Zwecke in dieser Weise erfüllt werden können. |
b) Daten, die die Zuordnung von Informationen zu einer bestimmten oder bestimmbaren betroffenen Person ermöglichen, von den übrigen Informationen gemäß den höchsten technischen Standards getrennt aufbewahrt werden und sämtliche notwendigen Maßnahmen ergriffen werden, um unbefugte Rückschlüsse auf die Identität der betroffenen Personen zu verhindern. |
(entfällt) |
(5)Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1. (6)Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. (7)Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. (8)Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen. (9)Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften. |
|
2. Einrichtungen, die Arbeiten für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung durchführen, dürfen personenbezogene Daten nur dann veröffentlichen oder auf andere Weise bekannt machen, wenn |
2. Die in den Absätzen 1 und 1a genannten angemessenen Garantien müssen im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden und so gestaltet sein, dass sie gewährleisten, dass die technischen und/oder organisatorischen Schutzmaßnahmen gemäß dieser Verordnung auf die personenbezogenen Daten zur Minimierung der Verarbeitung personenbezogener Daten im Hinblick auf die Grundsätze der Verhältnismäßigkeit und der Notwendigkeit angewandt werden, wie z.B. Pseudonymisierung der Daten, es sei denn diese Maßnahmen verhindern die Erfüllung des Zwecks der Verarbeitung und dieser Zweck kann nicht mit vertretbaren Mitteln auf andere Weise erfüllt werden. | ||
|
a) die betroffene Person nach Maßgabe von Artikel 7 ihre Einwilligung erteilt hat, |
(entfällt) | ||
|
b) die Veröffentlichung personenbezogener Daten für die Darstellung von Forschungsergebnissen oder zur Unterstützung der Forschung notwendig ist, soweit die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person diese Interessen nicht überwiegen oder |
(entfällt) | ||
|
c) die betroffene Person die Daten veröffentlicht hat. |
(entfällt) | ||
|
3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die Verarbeitung personenbezogener Daten für die Zwecke der Absätze 1 und 2, etwaige erforderliche Beschränkungen der Rechte der betroffenen Person auf Unterrichtung und Auskunft sowie die unter diesen Umständen geltenden Bedingungen und Garantien für die Rechte der betroffenen Person festzulegen. |
(entfällt) |
Erwägungsgründe: 148, 150, 151
Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag
Im Gegensatz zu §43 BDSG (Ordnungswidrigkeiten) und §44 BDSG (Straftaten) kann im Rahmen der EU-DSGVO ein weitaus größeres Spektrum von Verstößen durch Bußgelder geahndet werden. Während es im BDSG durchaus Lücken derart gab, dass verschiedene Verstöße gar nicht bußgeldbewehrt waren, ist das Prinzip der EU-DSGVO, dass ein Verstoß prinzipiell eine Sanktion zur Folge haben soll, vgl. Erwägungsgrund 148 der EU-DSGVO. Demnach soll es Ausnahmen nur dann geben, wenn es sich um geringfügige Verstöße handelt (die leider nicht näher beschrieben werden) oder eine Geldbuße gegen eine natürliche Person (nicht bei GmbHs oder AGs!) unverhältnismäßig wäre.
Grundsätzlich gilt, dass die verantwortliche Stelle haftet, d.h. Unternehmen haften i.d.R. für Verstöße durch Fehlverhalten ihrer Mitarbeiter. Inwieweit Mitarbeiter im Rahmen der Mitarbeiter-Haftung im Innenverhältnis regresspflichtig sind, wird die Rechtsprechung zeigen.
Neu ist insbesondere, dass Bußgelder
- auch gegen Auftragsverarbeiter, Zertifizierungsstellen und akkreditierten Stellen zur Überwachung genehmigter Verhaltensregeln (CoC)
- auch bei technisch-organisatorischen Verstößen
- auch bei mangelnder Dokumentation
- auch bei neuen Tatbeständen wie privacy by design oder privacy by default
verhängt werden können.
Der Bußgeldrahmen der EU-DSGVO ist gegenüber dem BDSG deutlich erhöht:
- für einige Fälle 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
- für andere Fälle 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes
je nachdem, welche Summe höher ist. Dabei ist auf den Konzern-Umsatz bzw. Unternehmensgruppe abzustellen, nicht auf den Umsatz der einzelnen rechtlichen Einheit (wirtschaftlicher Unternehmensbegriff).
Nach der EU-DSGVO gilt nun der Unternehmensbegriff nach Art. 101,102 AEUV (Vertrag über die Arbeitsweise der Europäischen Union). Demnach kann nun auch ein ganzer Konzern als Unternehmen definiert werden. Im Vergleich definiert das BDSG ein Unternehmen als einzelne juristische Person, wie z.B. eine GmbH. Somit ist die Gesellschaft bzw. die juristische Person als eigenständige Person anzusehen.
Beeinflussend für die Bemessung der Bußgeldhöhe sollen dabei nach Erwägungsgrund 148 der EU-DSGVO auch Faktoren sein wie z.B. Schwere und Dauer des Datenschutz-Verstoßes, Vorsätzlichkeit, getroffene Maßnahmen, der Grad der Verantwortlichkeit, frühere Verstöße und Kooperation mit den Aufsichtsbehörden.
Ob dieses „scharfe Schwert“ des höheren Bußgeldrahmens tatsächlich genutzt wird, ist aber fraglich. Schon der Bußgeldrahmen des BDSG wurde durch die Aufsichtsbehörden kaum ausgeschöpft, denen es häufig an Budgets und Personal für die verwaltungsgerichtliche Durchsetzung empfindlicher Bußgeldbescheide fehlt. (Vgl. Artikel „Datenschutz-Aufsichtsbehörden nach EU-DSGVO als zahnlose Tiger?„) So bleibt anzunehmen, dass auch weiterhin Bußgelder nur in den Höhen verhängt werden, die unterhalb der Schwelle sind, bei denen es sich für ein Unternehmen lohnt, Rechtsmittel einzulegen.
Hoffnung besteht hinsichtlich der Erarbeitung von Leitlinien durch den Europäischen Datenschutzausschuss als Gremium der Aufsichtsbehörden der EU-Mitgliedsstaaten. Sofern dieser mit hinreichendem Mut einen Bußgeldkatalog erarbeitet, der dann im Sinne einer gleichmäßigen Anwendung des Bußgeldrahmens europaweit zum Einsatz kommt, dann werden sich nationale Behörden in der täglichen Praxis daran zu orientieren haben. Aber auch das wäre wirkungslos, wenn die gerichtliche Durchsetzung an den Ressourcen der Aufsichtsbehörden scheiterte.
So wäre es auch Aufgabe der Politik, die Aufsichtsbehörden mit angemessenen Ressourcen auszustatten, wenn die Umsetzung der EU-DSGVO politisch tatsächlich gewollt wäre wie in den Erwägungsgründen beschrieben. Statt dessen ist zu beobachten, dass auf die bereits seit Jahren beschlossenen, längst überfälligen, aber nur zufällig mit Inkrafttreten der EU-DSGVO zusammenfallenden personellen Aufstockungen verwiesen wird und dies auch noch als Errungenschaft den Wählern verkauft werden soll.
Eine kurze Übersicht gibt auch das BayLDA zu diesem Thema
Kommentar
Art.83 - DSGVO - Allgemeine Bedingungen für die Verhängung von Geldbußen
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 15.06.2015 | Stand: 27.04.2016 |
|
Datenverarbeitung zu historischen oder statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung |
Ausnahmen in Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke und zu wissenschaftlichen, statistischen und historischen Zwecken | Allgemeine Bedingungen für die Verhängung von Geldbußen | |
|
1. In den Grenzen dieser Verordnung dürfen personenbezogene Daten nur dann zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung verarbeitet werden, wenn |
1. Gemäß den Vorschriften dieser Verordnung dürfen personenbezogene Daten nur dann zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung verarbeitet werden, wenn |
1. Werden personenbezogene Daten zu wissenschaftlichen, statistischen oder historischen Zwecken verarbeitet, so können im Unionsrecht oder im Recht der Mitgliedstaaten vorbehaltlich angemessener Garantien für die Rechte und Freiheiten der betroffenen Person Ausnahmen von Artikel 14a Absätze 1 und 2 und den Artikeln 15, 16, 17, 17a, 17b, 18 und 19 vorgesehen werden, insofern eine solche Ausnahme für die Erfüllung der spezifischen Zwecke erforderlich ist. |
1. Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. |
|
|
|
1a. Werden personenbezogene Daten zu im öffentlichen Interesse liegenden Archivzwecken verarbeitet, so können im Unionsrecht oder im Recht der Mitgliedstaaten vorbehaltlich angemessener Garantien für die Rechte und Freiheiten der betroffenen Person Ausnahmen von Artikel 14a Absätze 1 und 2, den Artikeln 15, 16, 17, 17a, 17b, 18, 19, 23, 32 und 33 sowie von Artikel 53 Absatz 1b Buchstaben d und e vorgesehen werden, insofern eine solche Ausnahme für die Erfüllung dieser Zwecke erforderlich ist. |
2. Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. |
|
|
|
1b. Falls eine der in den Absätzen 1 und 1a genannten Verarbeitungsarten gleichzeitig einem anderen Zweck dient, dürfen die zulässigen Ausnahmen nur für die Verarbeitung zu den in jenen Absätzen genannten Zwecken gelten. |
3. Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. |
|
a) diese Zwecke nicht auf andere Weise durch die Verarbeitung von Daten erfüllt werden können, die eine Bestimmung der betroffenen Person nicht oder nicht mehr ermöglichen; |
a) diese Zwecke nicht auf andere Weise durch die Verarbeitung von Daten erfüllt werden können, die eine Bestimmung der betroffenen Person nicht oder nicht mehr ermöglichen; |
(entfällt) |
4. Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4. |
|
b) Daten, die die Zuordnung von Informationen zu einer bestimmten oder bestimmbaren betroffenen Person ermöglichen, von den übrigen Informationen getrennt aufbewahrt werden, sofern diese Zwecke in dieser Weise erfüllt werden können. |
b) Daten, die die Zuordnung von Informationen zu einer bestimmten oder bestimmbaren betroffenen Person ermöglichen, von den übrigen Informationen gemäß den höchsten technischen Standards getrennt aufbewahrt werden und sämtliche notwendigen Maßnahmen ergriffen werden, um unbefugte Rückschlüsse auf die Identität der betroffenen Personen zu verhindern. |
(entfällt) |
(5)Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1. (6)Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. (7)Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. (8)Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen. (9)Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften. |
|
2. Einrichtungen, die Arbeiten für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung durchführen, dürfen personenbezogene Daten nur dann veröffentlichen oder auf andere Weise bekannt machen, wenn |
2. Die in den Absätzen 1 und 1a genannten angemessenen Garantien müssen im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden und so gestaltet sein, dass sie gewährleisten, dass die technischen und/oder organisatorischen Schutzmaßnahmen gemäß dieser Verordnung auf die personenbezogenen Daten zur Minimierung der Verarbeitung personenbezogener Daten im Hinblick auf die Grundsätze der Verhältnismäßigkeit und der Notwendigkeit angewandt werden, wie z.B. Pseudonymisierung der Daten, es sei denn diese Maßnahmen verhindern die Erfüllung des Zwecks der Verarbeitung und dieser Zweck kann nicht mit vertretbaren Mitteln auf andere Weise erfüllt werden. | ||
|
a) die betroffene Person nach Maßgabe von Artikel 7 ihre Einwilligung erteilt hat, |
(entfällt) | ||
|
b) die Veröffentlichung personenbezogener Daten für die Darstellung von Forschungsergebnissen oder zur Unterstützung der Forschung notwendig ist, soweit die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person diese Interessen nicht überwiegen oder |
(entfällt) | ||
|
c) die betroffene Person die Daten veröffentlicht hat. |
(entfällt) | ||
|
3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die Verarbeitung personenbezogener Daten für die Zwecke der Absätze 1 und 2, etwaige erforderliche Beschränkungen der Rechte der betroffenen Person auf Unterrichtung und Auskunft sowie die unter diesen Umständen geltenden Bedingungen und Garantien für die Rechte der betroffenen Person festzulegen. |
(entfällt) |
Erwägungsgründe: 148, 150, 151
Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag
Im Gegensatz zu §43 BDSG (Ordnungswidrigkeiten) und §44 BDSG (Straftaten) kann im Rahmen der EU-DSGVO ein weitaus größeres Spektrum von Verstößen durch Bußgelder geahndet werden. Während es im BDSG durchaus Lücken derart gab, dass verschiedene Verstöße gar nicht bußgeldbewehrt waren, ist das Prinzip der EU-DSGVO, dass ein Verstoß prinzipiell eine Sanktion zur Folge haben soll, vgl. Erwägungsgrund 148 der EU-DSGVO. Demnach soll es Ausnahmen nur dann geben, wenn es sich um geringfügige Verstöße handelt (die leider nicht näher beschrieben werden) oder eine Geldbuße gegen eine natürliche Person (nicht bei GmbHs oder AGs!) unverhältnismäßig wäre.
Grundsätzlich gilt, dass die verantwortliche Stelle haftet, d.h. Unternehmen haften i.d.R. für Verstöße durch Fehlverhalten ihrer Mitarbeiter. Inwieweit Mitarbeiter im Rahmen der Mitarbeiter-Haftung im Innenverhältnis regresspflichtig sind, wird die Rechtsprechung zeigen.
Neu ist insbesondere, dass Bußgelder
- auch gegen Auftragsverarbeiter, Zertifizierungsstellen und akkreditierten Stellen zur Überwachung genehmigter Verhaltensregeln (CoC)
- auch bei technisch-organisatorischen Verstößen
- auch bei mangelnder Dokumentation
- auch bei neuen Tatbeständen wie privacy by design oder privacy by default
verhängt werden können.
Der Bußgeldrahmen der EU-DSGVO ist gegenüber dem BDSG deutlich erhöht:
- für einige Fälle 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
- für andere Fälle 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes
je nachdem, welche Summe höher ist. Dabei ist auf den Konzern-Umsatz bzw. Unternehmensgruppe abzustellen, nicht auf den Umsatz der einzelnen rechtlichen Einheit (wirtschaftlicher Unternehmensbegriff).
Nach der EU-DSGVO gilt nun der Unternehmensbegriff nach Art. 101,102 AEUV (Vertrag über die Arbeitsweise der Europäischen Union). Demnach kann nun auch ein ganzer Konzern als Unternehmen definiert werden. Im Vergleich definiert das BDSG ein Unternehmen als einzelne juristische Person, wie z.B. eine GmbH. Somit ist die Gesellschaft bzw. die juristische Person als eigenständige Person anzusehen.
Beeinflussend für die Bemessung der Bußgeldhöhe sollen dabei nach Erwägungsgrund 148 der EU-DSGVO auch Faktoren sein wie z.B. Schwere und Dauer des Datenschutz-Verstoßes, Vorsätzlichkeit, getroffene Maßnahmen, der Grad der Verantwortlichkeit, frühere Verstöße und Kooperation mit den Aufsichtsbehörden.
Ob dieses „scharfe Schwert“ des höheren Bußgeldrahmens tatsächlich genutzt wird, ist aber fraglich. Schon der Bußgeldrahmen des BDSG wurde durch die Aufsichtsbehörden kaum ausgeschöpft, denen es häufig an Budgets und Personal für die verwaltungsgerichtliche Durchsetzung empfindlicher Bußgeldbescheide fehlt. (Vgl. Artikel „Datenschutz-Aufsichtsbehörden nach EU-DSGVO als zahnlose Tiger?„) So bleibt anzunehmen, dass auch weiterhin Bußgelder nur in den Höhen verhängt werden, die unterhalb der Schwelle sind, bei denen es sich für ein Unternehmen lohnt, Rechtsmittel einzulegen.
Hoffnung besteht hinsichtlich der Erarbeitung von Leitlinien durch den Europäischen Datenschutzausschuss als Gremium der Aufsichtsbehörden der EU-Mitgliedsstaaten. Sofern dieser mit hinreichendem Mut einen Bußgeldkatalog erarbeitet, der dann im Sinne einer gleichmäßigen Anwendung des Bußgeldrahmens europaweit zum Einsatz kommt, dann werden sich nationale Behörden in der täglichen Praxis daran zu orientieren haben. Aber auch das wäre wirkungslos, wenn die gerichtliche Durchsetzung an den Ressourcen der Aufsichtsbehörden scheiterte.
So wäre es auch Aufgabe der Politik, die Aufsichtsbehörden mit angemessenen Ressourcen auszustatten, wenn die Umsetzung der EU-DSGVO politisch tatsächlich gewollt wäre wie in den Erwägungsgründen beschrieben. Statt dessen ist zu beobachten, dass auf die bereits seit Jahren beschlossenen, längst überfälligen, aber nur zufällig mit Inkrafttreten der EU-DSGVO zusammenfallenden personellen Aufstockungen verwiesen wird und dies auch noch als Errungenschaft den Wählern verkauft werden soll.
Eine kurze Übersicht gibt auch das BayLDA zu diesem Thema