Enforcement, einschliesslich Erfahrungen im Umgang mit EU- Datenschutzbehörden am Beispiel Deutschland.

Größe: px

Ab Seite anzeigen:

Download "Enforcement, einschliesslich Erfahrungen im Umgang mit EU- Datenschutzbehörden am Beispiel Deutschland."

Christina Frank
vor 7 Jahren
Abrufe

1 Modul 4, 27. Oktober 2016 DSGVO Governance, Zertifizierungen, grenzüberschreitender Datenverkehr, Enforcemement. Marc Hilber Enforcement, einschliesslich Erfahrungen im Umgang mit EU- Datenschutzbehörden am Beispiel Deutschland.

2 Inhaltsverzeichnis. 1. Arten von Enforcement 2. Aufsichtsbehörden - Struktur 3. Überblick typisches Vorgehen 4. Untersuchungen / Investigations 4.1 Auslöser 4.2 Befugnisse 4.3 Empfehlungen 5. Dialogphase / Anordnungen 6. Geldbußen 6.1 Der neue Rahmen 6.2 Bisherige Praxis 6.3 Auslegung 6.4 Empfehlungen

3 1. Arten von Enforcement. Durch Private Betroffenenrechte (Art ) ivm Beschwerderecht bei Behörden, Art. 77, 78 prozessuale Möglichkeiten ggü. Verantwortlichen (Unterlassungsanordnung, einstweilige Verfügung), vgl. Art. 79 Schadenersatzansprüche (Art. 82) Durch Aufsichtsbehörden Enforcement oberste Pflicht der Aufsichtsbehörden, Art. 57 (1) lit. a Einheitliche, weitreichende Befugnisse, Art. 58 Zusammenarbeitsmöglichkeiten, Art Geldbußen, Art. 83 Straftatbestände nach nationalem Recht, Art. 84 jetzt auch immaterielle Schäden Gesamtschuldner-Haftung Verbandsklagen (Art. 80), vgl. UKlaG in Deutschland

4 2. Aufsichtsbehörden Struktur. Einheitliche Vorgaben nach Art DSGVO insbesondere Unabhängigkeit (vgl. EuGH v C-518/07 zur Struktur der deutschen Aufsichtsbehörden) Nationale Einrichtung mit unterschiedlicher Ausstattung und Struktur zentrale Behörden, z.b. ICO (GB), CNIL (F), Guarante (I) dezentrale Behörden, z.b. Deutschland mit (mindestens) 16 Landesbehörden sowie Bundesbeauftragter (BfDI) These 1: z.t. sehr unterschiedliches Level an Kompetenz und Durchschlagskraft

5 3. Typisches Vorgehen. im Vorfeld: Beratung, Diskussion, Aufklärung Information / Untersuchungen / Kontrollen zu Beginn steht im Normalfall immer Sachverhaltsaufklärung Warnung / Anordnung Regelung der Sachfrage Bestrafung über Geldbußen häufig (aber nicht immer) letzter Schritt These 2: Die Strafe steht meist am Ende eines längeren Dialogs

6 4. Untersuchungen / Investigations. 4.1 Auslöser Beschwerden (durch Kunden, Arbeitnehmer, Betriebsräte) sind Hauptursache für Untersuchungen in der Praxis Anlassbezogene (Behörden lesen Zeitung!) generelle Untersuchung, z.b. Hamburger Aufsichtsbehörde an 35 internationale Konzerne wegen Einsatz von Safe Harbor (führte bisher zu 3 Bußgeldern) Smart TV-Untersuchung (LDA Bayern technisch, Orientierungshilfe Düsseldorfer Kreis) Anlassunabhängige Sektor-Untersuchungen, z.b. Cookie Sweep Analyse durch 8 Behörden (Art.-29-Gruppe WP 229) LDA Bayern u.a. Global Privacy Networks: Untersuchung 2016 zum Internet der Dinge LDA Bayern u.a. Prüfung von Dating-Portalen 2015

7 4. Untersuchungen / Investigations. 4.2 Befugnisse Art. 58 (1) als unmittelbare Befugnisnorm, u.a.: Auskunftsrecht, d.h. Anfragen müssen beantwortet werden Eigene Untersuchung in Form von Datenschutzüberprüfung Zugangsrecht zu Daten und Informationen Zutrittsrecht zu Geschäftsräumen und EDV-Systemen (nationales Verfahrensrecht) Ergänzende Pflichten der Verantwortlichen bzw. Informationsrechte, z.b. Art. 30 (4) Zusammenarbeitspflicht der Unternehmen, Art. 31 These 3: Aufsichtsbehörden haben sehr weitreichende Aufklärungsbefugnisse ohne Richtervorbehalt (mehr Rechte als StA / Polizei)

8 4. Untersuchungen / Investigations. 4.3 Empfehlungen Jede Anfrage und Beschwerde ernst nehmen Interne Prozesse / Eskalation einrichten Bsp. 1: Anfrage liegt im Kundenzentrum und wird nicht als solche erkannt Anfragen von Behörden (rechtzeitig), vollständig und wahrheitsgemäß beantworten Besser schriftliche Beantwortung von Fragen als die Behörde im Haus Bsp. 2: Verweigerung einer Auskunft war häufigster Bußgeld-Fall in Deutschland Anfragen von Behörden qualifiziert beantworten Wenn Antwort unqualifiziert ausfällt, schöpft Behörde Verdacht Bsp. 3: Falsche Auskunft des Mandanten führte zu umfassender Überprüfung These 4: Der richtige Umgang mit Beschwerden und Anfragen ist vorentscheidend hier kann größeres Unglück vermieden / begründet werden.

9 5. Dialogphase / Anordnungen 1/2. Ziel: Abhilfe, d.h. Herstellung einer rechtmäßigen Verarbeitung Mittel: Art. 58 (1), (2) Hinweis auf vermeintlichen Verstoß, Art. 58 (1) lit. c Warnung wegen voraussichtlichem Verstoß, Art. 58 (2) lit. a Verwarnung bei tatsächlichem Verstoß, Art. 58 (2) lit. b Anweisungen zu handeln (Auskunft, Nachbesserung), Art. 58 (2) lit. c, d, e Beschränkung oder Verbot der Verarbeitung anordnen (Verarbeitung, Löschung, Widerruf Zertifizierung, Übermittlung Drittland), Art. 58 (2) lit. f, g, h, j Folgen: Je nach Fall noch drastischer als Bußgeld, weil unternehmenswichtige Verarbeitungen eingestellt werden müssen, außerdem bei Nichtbeachtung Geldbuße nach Art. 83 (6) möglich

10 5. Dialogphase / Anordnungen 2/2. Beispiele Streit über Zulässigkeit der Nutzung von Abrechnungszentren für Apotheken nach Äußerung des ULD Schleswig-Holstein: Urteil OVG Schleswig-Holstein Verbot von Social Plug-Ins auf Webseiten durch ULD Schleswig-Holstein mit Rechtsstreit vor Verwaltungsgerichten (jetzt BVerwG mit Vorlage zum EuGH, Landgerichts-Urteile zur Unzulässigkeit) Anordnung über Zusammenführung der Adressdaten von WhatsApp und Facebook (Hamburg) Konzertiertes Verbot an Google zur Zusammenführung von Diensten (F, NL, E, D [Hamburg]) Verbot an Facebook in Belgien zum Tracking von Nicht-Mitgliedern (mit Strafandrohung von EUR 250k pro Tag) These 5: Anordnungen und Verbote können sehr empfindlich sein, der Dialog über zumutbare Abhilfen und Änderungen ist wichtig.

11 6. Geldbußen. 6.1 Der neue Rahmen Art. 83: Geldbuße bis EUR 10 Mio. / 2% (Abs. 4) oder EUR 20 Mio. / 4 % (Abs. 5) des weltweiten Jahresumsatzes Sehr viele und weite (unbestimmte) Tatbestände, vor allem weil auch Grundprinzipien (z.b. Art. 5) und technisch-organisatorische Maßnahmen genannt sind Umfassender Kriterienkatalog bei Verhängung in Art. 83 (2), z.b. Schwerer Verstoß, Schaden, Vorsatzgrad, Schutzmaßnahmen, Historie usw. Unmittelbar geltendes Recht Bestrafung von Unternehmen, handelnden Personen nicht geregelt

12 6. Geldbußen. 6.2 Bisherige Praxis 1/2 Uneinheitliche Befugnisse, z.b. GB konnte lange Zeit keine Geldbußen verhängen, in Deutschland gab es die Möglichkeit immer Uneinheitliche Bußgeldrahmen, z.b. AUT ( 25k), F ( 150k), D ( 300k), E ( 600k), GB ( 500k) Uneinheitliche Praxis, z.b. in 2015 E ( 13,7 Mio.), I ( 3,3 Mio.), GB ( 2 Mio.), D (keine einheitliche Statistik): These 6: Bisher gab es große Unterschiede, das Ob und Wie hoch konnte mit Aufsichtsbehörden verhandelt werden

13 6.2 Bisherige Praxis 2/2 6. Geldbußen.

14 6. Geldbußen. 6.3 Auslegung Art. 83 Auslegungshilfe BayLDA ( ) Pflicht zur Geldbuße bei Verstoß? So wohl die Ansicht der Behörde wegen Erwägungsgrund 148 verschiedene Adressaten sind möglich (Verantwortliche, Auftragsverarbeiter, Zertifizierungsstelle) (zusätzliche) Sanktionierung handelnder Personen nur nach nationalem Recht, aber nicht nach Art. 83 bei Konzernen ist Jahresumsatz der Gruppe gemeint entsprechend der kartellrechtlichen Auslegung, so wohl EG 150 Zusammenarbeit bei Aufklärung wird als Kriterium bewertet (vgl. Kartellrecht) Leitlinien des Europäischen Datenschutzausschusses erwartet

15 6. Geldbußen. 6.4 Empfehlungen Kooperation und Dialog bei Anfragen / Untersuchungen besonders wichtig Willen zur Besserung zeigen und umsetzen Vorkehrender Datenschutz und Dokumentation / Nachweise (Accountability) werden sehr wichtiges Kriterium bei Zumessung Unter dem Radar bleiben, d.h. Aufmerksamkeit der Behörden vermeiden (z.b. gutes Management von Beschwerden)

16 Dr. Marc Hilber Partner Konrad-Adenauer-Ufer 23, Köln Tel.: +49 (0)

Ähnliche Dokumente

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte WEIMER I BORK Rechtsanwälte Fachanwälte Historischer Rückblick 1970: Weltweit erstes Datenschutzgesetz in Hessen 1974: zweites Datenschutzgesetz in Rheinland-Pfalz 1977: Bundesdatenschutzgesetz 1995: