Bußgelder unter der DS-GVO - Ein scharfes Schwert in verantwortungsvollen Händen - RiLG Benjamin Bäßler Leiter der Bußgeldstelle beim LfDI BW

Ähnliche Dokumente
Wissenschaftliche Dienste. Sachstand. Sanktionen bei Datenmissbrauch Deutscher Bundestag WD /18

Studienvereinigung Kartellrecht / Universität Bern

Die kommende Sanktionspraxis der Datenschutz-Aufsicht Vom BDSG zur Europäischen Datenschutz-Grundverordnung. LfDI Dr. Stefan Brink 26.

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Die Informationspflichten der Verantwortlichen

Neue Meldepflichten bei Datenschutzverstößen

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Kartellgeldbußen als Teil der Wirtschaftsaufsicht Rechtstatsächliche Umschau und rechtsstaatliche Prämissen

Die Datenschutzgrundverordnung

Fragebogenaktion zum Stand der Anpassung an die DS- GVO in der Arztpraxis in Mecklenburg-Vorpommern

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Die Versicherbarkeit der Risiken aus der Datenschutz-Grundverordnung (DS-GVO)

Sanktionsmöglichkeiten bei Datenschutzverstößen

Bußgeldhaftung durch Zurechnung. 5. Speyerer Kartellrechtsforum

A. Rechtliches Gehör nach Art. 27 VO 1/2003

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Datenschutztag Die DS-GVO und Bußgelder Köln, Konrad Menz Fachanwalt für Strafrecht, Compliance-Officer (TÜV)

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

Vorab: Aufsichts- oder Ordungswidrigkeitenbehörde?

Die Ernennung eines Datenschutzbeauftragten

Die Europäische Datenschutz- Grundverordnung. Schulung am

Die EU-Datenschutz-Grundverordnung

Die Auftragsverarbeitung nach der DSGVO. Bremen, 17.August 2017 Hamburg, 07. September 2017 Dr. Babette Nüßlein

Webinar für Online-Händler Die neue EU-DSGVO

Ab wann ist der Verein zum Datenschutz verpflichtet? Was sind eigentliche personenbezogene Daten?

Die Reichweite des Bestimmtheitsgrundsatzes und des Schuldprinzips im Unionsrecht...21

Europäische Datenschutz-Grundverordnung

Die EU-Datenschutzgrundverordnung (EU-DSGVO) Thomas Schmidt CISO & Datenschutzbeauftragter

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Kein Bußgeld gegen öffentliche Stellen wirklich keine Sanktionen gegen Behörden?

BvD- Herbstkonferenz. Prüfungen und Kontrollen der Aufsichtsbehörden - Künftige Bußgeldpraxis in der EU. Stuttgart,

Newsletter Datenschutz

Deutsches Forschungsnetz

Verteidigungsrechte nach der EMRK und dem EuGH

Unternehmertag Digitale Woche Kiel. Egal, was Du machst Sicherheit gehört dazu. Sicherheit/ Datenschutz muss keine Bremse für den Fortschritt sein

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Rechtsnachfolge im deutschen Kartellordnungswidrigkeitenrecht. Gedanken zum Diskussionsentwurf des BMJ

Ein kurzer Blick auf die EU-Datenschutzgrundverordnung (DSGVO) Was bleibt, was ändert sich?

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

Die einzelnen Verstöße gegen das Geldwäschegesetz

Folgen der Mißachtung der Bestimmungen des BDSG

Datenschutzrechtliche Schranken der Informationsweitergabe

Kontrolle des betrieblichen Datenschutzes nach der Datenschutzgrundverordnung

BvD Herbstkonferenz Datenschutz

Der NRW-Entwurf zum Verbandsstrafrecht im Vergleich Überblick zur Behandlung materieller und prozessualer Rechtsfragen in Österreich und der Schweiz

DATENSCHUTZ-GRUNDVERORDNUNG ERSTE ERFAHRUNGEN UND URTEILE

Vorlesung Datenschutzrecht. Datenschutzkontrolle

SerNet. Das Datenschutzmodul - Verzeichnis der Verarbeitungstätigkeiten mit verinice nach DS-GVO


Grundlagenschulung Datenschutz

Die Datenschutz-Grundverordnung (DSGVO)

BUNDESGESETZBLATT FÜR DIE REPUBLIK ÖSTERREICH. Jahrgang 2018 Ausgegeben am 15. Mai 2018 Teil I

BvD. Management-Summary. Überblick in 10 Schritten

Neue Bußgeldvorschriften im AÜG

Änderung im Fahrpersonalrecht

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Datenschutzkontrolle und Datenschutzaufsicht nach der DS-GVO

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Bekanntmachung Nr. 38/2006

Verzeichnis der Verarbeitungstätigkeiten

Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)

Das Recht auf einen angemessenen Lohn als Europäisches Grundrecht

BUSINESS BREAKFAST - DATENSCHUTZ

it-recht kanzlei münchen

Umsetzung der Datenschutzgrundverordnung auf Länderebene Rechtsforum 68. DFN-Betriebstagung

REFERENTIN. Die EU-DSGVO was steht drin?

Datenschutz. Vortrag

Kartellrecht und Datenschutz: Gemeinsamkeiten und Interaktionen 45. FIW - Seminar 2017 Berlin

Bestellung einer/s betrieblichen Datenschutzbeauftragten

Wissenschaftliche Dienste. Sachstand. Umsetzung der Datenschutz-Grundverordnung Deutscher Bundestag WD /18

Der neue Bußgeldkatalog mit Punktsystem

Bußgeldkatalog für Verstöße gegen. 56 Abs. 1 Nr. 52 bis 56 GwG

Strategie des LfDI für ein nachhaltiges Datenschutzmanagement

Datenschutz 2.0 Was birgt die Zukunft?

Datenschutzerklärung zu Bewerbungen der

Thema Alkohol: Jugendschutzkontrollen

LANDESKARTELLBEHÖRDE BADEN-WÜRTTEMBERG beim MINISTERIUM FÜR WIRTSCHAFT, ARBEIT UND WOHNUNGSBAU

Migrationsrelevante Freiheitsrechte der EU-Grundrechtecharta

Kartellrechtsverfolgung in Deutschland nach der 8. GWB-Novelle

Die neue EU-Datenschutz- Grundverordnung

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

6. Fachtagung der LfM für den Datenschutz: Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung

zum Security Breakfast bei

Der Grundsatz der Subsidiarität im Rechtsschutzsystem der Europäischen Menschenrechtskonvention

Gesetz über Ordnungswidrigkeiten (OWiG)

EU-Datenschutz-Grundverordnung (DSGVO)

Anlage 2: Gegenüberstellung des BbgDSG-alt mit der DSGVO und des BbgDSG-neu

DATENSCHUTZERKLÄRUNG DER PPM GMBH ZU BEWERBUNGEN

Schuld und Sühne im Kartellrecht und im Strafrecht. - Bußgeldrecht und Bußgeldpraxis in Deutschland -

Sanktionen nach der DSGVO Vortrag an der Universität Salzburg am

Die Datenschutzgrundverordnung verändert alles

Herzlich Willkommen. zum bayrisch-tschechischen Workshop. Datenschutzbeauftragter nach der DSGVO. Autor: Rainer Aigner Stand:

BESCHLUSS. Bußgeldsache

Akkreditierung und Zertifizierung nach DSGVO

Das steuerliche Datenschutzrecht - Betroffenenrechte, Datenschutzaufsicht und Rechtsschutz -

Transkript:

Bußgelder unter der DS-GVO - Ein scharfes Schwert in verantwortungsvollen Händen - RiLG Benjamin Bäßler Leiter der Bußgeldstelle beim LfDI BW

Agenda 1. 2. 3. 4. 5. Wann kommt es zur Einleitung eines Bußgeldverfahrens? Wer ist Adressat eines solchen Verfahrens? AuskunIsverweigerung bei jur. Personen? Welcher Verschuldensmaßstab gilt? In welchen Fällen wird ein Bußgeld verhängt und wie hoch wird das Bußgeld ausfallen? 2

Wann kommt es zur Einleitung eines Bußgeldverfahrens Grundsätzliches: Weder DSGVO noch BDSG enthalten (bis auf wenige Ausnahmen) Regelungen zum Bußgeldverfahrensrecht. sowohl DSGVO als auch BDSG enthalten aber Verweisungen, z.b.: Art. 83 Abs. 8 DSGVO Die Ausübung der Befugnisse gemäß diesem Ar5kel muss angemessenen Verfahrensgaran5en gemäß dem Unionsrecht und dem Recht der Mitgliedsstaaten unterliegen. 41 Abs. 1 BDSG Für Verstöße nach Art. 83 (DSGVO) gelten die VorschriLen des Gesetzes über Ordnungswidrigkeiten sinngemäß. 3

D.h. das Verfahrensrecht bei Bußgeldern besymmt sich maßgeblich nach dem OWiG und über die Verweisung gem. 46 Abs. 1 OWiG nach der Strafprozessordnung. StPO VerfahrensvorschriIen OWiG (Einzelne Vf.-VorschriIen ergeben sich aus DSGVO und BDSG) 4

D.h. im datenschutzrechtlichen Bußgeldverfahren gilt: 152 Abs. 2, 2. HS StPO Einleitung eines Verfahrens nur bei Anfangsverdacht Opportunitätsprinzip, gem. 47 OWiG - Keine Pflicht zur Einleitung (anders als StA) - Keine Pflicht zur Verhängung eines Bußgeldes Verjährungsfristen gem. 31 ff. OWiG (Verfolgungsverjährung nach 3 Jahren) 5

Wer ist Adressat eines Bußgeldverfahrens Grundsatz: Verantwortlicher (LegaldefiniYon in Art. 4 Nr. 7 DSGVO) AuYragsverarbeiter (LegaldefiniYon in Art. 4 Nr. 8 DSGVO) d.h. Adressaten können natürliche oder juris[sche Personen sein 6

A. personelle Reichweite (Bei juris[schen Personen / Unternehmen) Rechtsträgerprinzip - Bei Handeln von gesetzl. Vertretern Funk[onsträgerprinzip - unmiaelbare VerbandshaYung, d.h. oder Leitungspersonen kann die Geldbuße HaYung für das Handeln jedes gegen das Unternehmen festgesetzt werden Mitarbeiters möglich (außer Exzess) ( 30 OWiG) - Keine Kenntnis des GF/Organs nö[g - oder bei Verletzung der Aufsichtspflicht ( 130 OWiG) = bisherige Zurechnung 7

B. organisatorische Reichweite (Bei juris[schen Personen / Unternehmen) Rechtsträgerprinzip Funk[onsträgerprinzip - grds. nur das Unternehmen, dem d. gesetzl. Vertreter/Leitungspersonen - weite Auslegung von Unternehmen (jede wirtschayl. tä[ge Einheit - egal angehört welche Rechtsform oder Personenzahl) - DurchgriffshaYung auf den Konzern - DurchgriffshaYung auf den Konzern, nach den Voraussetzungen des wenn GesellschaY ggü. anderen weisungs- 30 Abs. 1 Nr. 5 OWiG möglich befugt ist, Koordinierungsfunk[on übernimmt oder einen tatsächlich bes[mmenden Einfluss ausübt (EuGH Urt. v. 18.01.17 C-623/15 P) 8

Maßstab für die Aufsichtsbehörde? Rechtsträgerprinzip oder Funk[onsträgerprinzip? wird derzeit abges[mmt (Tendenz: Umsetzung des Funk[onsträgerprinzips) 9

Wunsch des europäischen VO-Gebers Funk[onsträgerprinzip - in organisatorischer Hinsicht: wegen unterschiedlicher Verwendung der Unternehmensbegriffe in der engl. Fassung (Art. 83 - undertaking staa wie Art. 4 enterprise ) und der Hinweis in EG 150 S. 3 sowie das Effizienzgebot (effet u[le) - in personeller Hinsicht: bei Art. 83 wird nur auf AuYragsverarbeiter bzw. Verantwortliche als Adressaten abgestellt und nicht darauf, ob der Verantwortliche durch seine vertretungsberech[gten Organe oder durch einfache Mitarbeiter handelt 10

AuskunYsverweigerungsrecht bei juris[schen Personen AuskunYspflicht Selbstbelastungsfreiheit 11

Natürliche Personen: Art. 58 Abs. 4 DSGVO Einklang mit Charta Art. 48 Abs. 2 EU-GR-Charta Achtung Verteidigungsrechte Umfassendes SchweigeR/ AuskunYsvwR 12

Juris[sche Personen: EuGH v. 18.10.1989, EuG v. 20.02.2001 nur paryelles SchweigeR 40 Abs. 4 S. 1 BDSG AuskunIspflicht 40 Abs. 4 S. 2 BDSG beschränktes SchweigeR beschränktes SchweigeR/ AuskunIvwR 13

Juris[sche Personen: AuskunYspflicht 40 Abs. 4 S. 1 BDSG Art. 58 Abs. 1 Nr. 1a Par[elles SchweigeR gem. EuG/EuGH Beschränktes SchweigeR 40 Abs. 4 S. 2 BDSG -grundsätzl. AuskunIs-Anspruch nach DSGVO - EuGH (U.v. 18.10.1989) ParYelles SchweigeR für jur. Personen, abgeleitet aus Art. 48 EU-GR-Charta - EuG (U.v. 20.02.2001) - Leitungsperson kann AuskunI nicht verweigern, wenn nur gegen die j.p. Geldbuße verhängt werden soll - a.a. EGMR (U.v. 24.05.1994) - UnberechYgte AuskunIsverweigerung ist Zugangsverweigerung und damit bußgeldbewehrt gem. Art. 84 Abs. 4 DSGVO -im BDSG wiederholt Anerkennung eines absoluten AuskunIsVwR geht über das hinaus, was zur Erhaltung der Verteidigungs-rechte erforderlich ist. AuskunIsVwR für j.p. folgt (unbeschränkt) aus Art. 6 EMRK 14

Verschuldensmaßstab Natürliche und juris[sche Personen: - Bußgeld gem. Art. 83 Abs. 2 S. 2 DSGVO setzt Vorsatz oder Fahrlässigkeit des Verantwortlichen oder des AuYragsverarbeiters voraus. Verschuldensunabhängige HaYung, wie teilweise in der Lit. vertreten. (hierzu Kühling/Buchner DS-GVO, 2. Auflage 2018, Art. 83 Rn. 35) verstößt gegen das deutsche Schuldprinzip, das integrayonsfest ist. - Maßstäbe für Fahrlässigkeit bei Unternehmen (nicht abschließend): Größe, Art der wirtschail. TäYgkeit, Art und Umfang der Datenverarbeitungsprozesse 15

Häufigkeit und Höhe der Bußgelder 16

Grundsätzlich: Nicht jeder Datenschutzverstoß führt zur Einleitung eines Bußgeldverfahrens Nicht jedes Bußgeldverfahren endet mit der Verhängung einer Geldbuße 17

Kriterien, die die Einleitung eines Bußgeldverfahrens wahrscheinlich erscheinen lassen (nicht abschließend): Große Datenmenge Viele Betroffene Besondere Datenarten Grob fahrlässig Datenhändler Mehrfachverstöße 18

Kriterien, die die Verhängung eines Bußgeldes wahrscheinlich erscheinen lassen (nicht abschließend): Einleitung eines Bußgeldverfahrens Grobe Fahrlässigkeit oder Vorsatz Besondere Datenarten Mehrfachverstöße Großer Betroffenenkreis/ Große Datenmenge Datenhändler 19

Grundsatz: Entscheidet die Bußgeldstelle, dass ein Bußgeldverfahren eingeleitet wird, so droht häufig ein Bußgeld. ABER: Absehen von Bußgeld in Einzelfällen trotz eingeleitetem Bußgeldverfahren möglich! (insbesondere bei besonders posiyvem Nachtatverhalten, mangelndem Verfolgungsinteresse der Betroffenen u.a.) 20

Häufigkeit der Bußgelder Häufigkeit von Bußgeldverfahren in ZukunY? vor DSGVO: Zuständigkeit beim RP Karlsruhe ca. 250 BußgeldVf. pro Jahr mit DSGVO: Vielzahl von Beschwerden mit BußgeldpotenYal Bußgeldstelle des LfDi personell deutlich stärker besetzt als RP ruhe Folge: zukünyig deutliche Zunahme von BG-Vf.! 21

Höhe der Bußgelder 1. Bußgeldrahmen: vor DSGVO: Zwischen 5,- Euro ( 17 Abs. 1, 1.HS OWiG) und je nach Verstoß 50.000,- / 300.000,- Euro ( 42 Abs. 3 BDSG a.f.). seit Wirksamwerden der DSGVO: Zwischen 5,- Euro ( 17 Abs. 1, 1.HS OWiG) und je nach Verstoß 10 Mio. / 20 Mio. Euro bzw. 2% / 4% des weltweiten Jahresumsatzes (Art. 83 Abs. 4 und Abs. 5 DSGVO). D.h. neue Höchstgrenze (ohne Umsatz) ist das 66fache der alten Grenze, bei Umsatzbezug und großen Firmen entsprechend mehr. (Beispiel Daimler AG: Konzernumsatz im Jahr 2017 betrug 164,3 Mrd., d.h. Höchstgrenze für Bußgeld beträgt 6,572 Mrd. ) (Quelle: Gewinn- und Verlustrechnung, abrurar auf geschaeisbericht2017.daimler.com) 22

2. Bußgeldhöhe im konkreten Fall: Grundsätzlich: Infolge der deutlich angehobenen Obergrenze für die Bußgelder sind nach dem Wunsch des europäischen VO-Gebers deutlich höhere Bußgelder zu verhängen = Gesetzl. UmsetzungsauIrag der dt. Aufsichtsbehörden (Art. 83 Abs. 1 DSGVO jede Aufsichtsbehörde stellt sicher ). Eine Umrechnungsformel von BDSG(alt) auf DSGVO gibt es nicht. Einen Bußgeldkatalog für Standardverstöße gibt es nicht. (Die Erstellung eines solchen Katalogs wird aber diskuyert.) Aus der Bußgeldstelle des LfDI BW: Vielzahl von Verfahren anhängig, vorwiegend noch im Ermitlungsstadium. Einige Verfahren, die nach vorläuf. Bewertung des derzeiygen Standes der Ermitlungen die Verhängung eines fünfstelligen Bußgeldes erfordern. Mehrere Verfahren, die nach vorläuf. Bewertung ein sechsstelliges Bußgeld erfordern. Derzeit noch kein Verfahren im Mio.- oder Mrd.-Euro-Bereich. 23

Fazit: Bei Vorliegen von datenschutzrechtlichen Ordnungswidrigkeiten werden, sofern deshalb ein Bußgeldverfahren eingeleitet wird, küniig deutlich häufiger Bußgelder verhängt werden, die in aller Regel deutlich höher sein werden, als die Bußgelder in der Vergangenheit. Der obere Bereich des Bußgeldrahmens wird dabei aber nur im Ausnahmefall erreicht werden. 24

Zusammenfassung: Wer hayet? Natürliche und jurisysche Personen. JurisYsche Personen wohl unter Anwendung des funkyonalen Unternehmensbegriffs. Verschuldensmaßstab? Keine verschuldensunabhängige HaIung. (mindestens Fahrlässigkeit erforderlich) Verteidigungsrechte? JurisYschen Personen steht nur ein eingeschränktes AuskunIsverweigerungsrecht zu. Wann wird ein Bußgeldverfahren eingeleitet? Nicht bei jeder Pflichtwidrigkeit, sondern vorrangig bei schweren Verstößen. Wie hoch werden die Geldbußen? Deutlich höher als in der Vergangenheit, aber ein Schröpfen der PrivatwirtschaI mit den Miteln des Datenschutzes ist nicht zu befürchten. Das scharfe Schwert eines Bußgeldes nach Art. 83 DSGVO wird verantwortungsvoll eingesetzt! 25

Vielen Dank für Ihre Aufmerksamkeit! RiLG Benjamin Bäßler Leiter der Bußgeldstelle beim LfDI BW 26

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback