Präsentation CRost BvD Herbstkonferenz 23.10€¦ · §41 Abs. 1 BDSG:§68 OWiG anwendbar, aber:...

BvD Herbstkonferenz 2019

Bußgelder mindern oder erhöhen- Herausforderungen für die Praxis

Maria Christina Rost

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Agenda

o Prologo Systematik der Befugnisseo Bußgeldverfahren und die -zumessungo Herausforderungen

Rost - HBDI Seite 223. Oktober 2019

Prolog

Der Hessische Datenschutzbeauftragte

Seite 3

In der Presse

o DSK entwickelt Konzept zur Bußgeldzumessung (PM v. 17.9.2019)

o Lieferdienst und Online-Bank – Berliner Datenschutzbeauftragte verhängt empfindliche Bußgelder (PM v. 19.9.2019)

o DSGVO: Bußgelder für Verstöße sollen kräftig steigen (www.fondprofessionell.de v. 30.9.2019)

o Konzept der Datenschutzkonferenz zur Zumessung von Geldbußen (PM v. 16.10.2019)


http://www.fondprofessionell.de/

Ziele der DS-GVO

o Gleichmäßiges und hohes Datenschutzniveau (EWG 10)

o gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung (EWG 11)

o gleichwertige Sanktionen in allen Mitgliedstaaten und eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden verschiedener Mitgliedstaaten als Möglichkeiten dafür betrachtet, dass Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden (EWG 13)


Systematik der Befugnisse


Befugnisse der Aufsicht (powers)

Rost - HBDI Seite 7

Art. 58 Abs. 1 DS-GVO Untersuchungsbefugnisse

Art. 58 Abs. 2 DS-GVO Abhilfebefugnisse

Art. 58 Abs. 3 DS-GVO Genehmigungsbefugnisse

23. Oktober 2019

Abhilfebefugnisse (corrective powers)nach Art. 58 Abs. 2 DS-GVO


AbhilfebefugnisseArt. 58 Abs. 2 DS-GVO

SanktionenArt. 58 Abs. 2 lit. b, i DS-GVO

MaßnahmenArt. 58 Abs. 2lit. c,d,e,f,g,h,j DS-GVO

Abhilfebefugnisse

Rost - HBDI Seite 9

Ziel: Verstoß verhindern

• Art. 58 Abs. 2 lit. a DS-GVO Warnung

vor Feststellung Datenschutzverstoß:

Ziel: Verstoß abstellen

• Art. 58 Abs. 2 lit. c,d,e,f,g,h,j DS-GVO• Art. 58 Abs. 2 lit. b, i DS-GVO

Datenschutzverstoß festgestellt:

23. Oktober 2019

Maßnahmen)

Rost - HBDI Seite 10

Einhaltung der DS-GVO mittels geeigneter Maßnahmen

durchsetzen

anordnen

einschränken, beschränken

anweisen

23. Oktober 2019

Geeignete Maßnahmen nach Art. 58 Abs. 2 (1)

BeispieleDen Verantwortlichen oder einen Auftragsverarbeiter

o anzuweisen, den Anträgen der betroffenen Person zur Ausübung der nach dieser Verordnung zustehenden Rechte zu entsprechen (lit. c)

Fall: Kunde A möchte eine Berichtigung seiner Daten nach Art. Art. 16 DS-GVO. Das Unternehmen B weigert sich. Nach Prüfung der Aufsicht steht fest, die Verweigerung erfolgt zu Unrecht. Aufsicht weist B an, dem Antrag zu entsprechen.


Geeignete Maßnahmen nach Art. 58 Abs. 2(2)

Beispieleo anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf

bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen (lit. d)

Fall: Die Aufsicht hat bei der Prüfung festgestellt, dass das Unternehmen B, der Verantwortliche, keine transparenten Informationen über die Betroffenenrechte auf der Homepage zur Verfügung stellt und weist B an, diese innerhalb von einem Monat mit den Anforderungen des DS-GVO in Einklang zu bringen.


Geeignete Maßnahmen nach Art. 58 Abs. 2(3)

Beispiele: o Anordnung der Berichtigung oder Löschung von

personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Art. 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gem. Art. 17 Abs. 2 und Art. 19 offengelegt wurden.

Fall: B weigert sich, die Berichtigung an den Daten von A vorzunehmen. Die Aufsicht ordnet die Berichtigung konkret an.


Sanktionen nach DS-GVO

Rost - HBDI Seite 14

Verwarnung (Art. 58 Abs. 2 lit. b) Bußgeld (Art. 58 Abs. 2 lit. i)

Sanktion gegen

Unternehmen oder

Sanktion gegen natürliche Person

- geringfügiger Verstoß

oder

- voraussichtlich zu verhängende Geldbuße für eine natürliche Person eine unverhältnismäßige Belastung (148 EWG)

Verwarnung

Sanktion gegen Unternehmen

oder

Sanktion gegen natürliche Person

- bis zu 10 Mio/ 20 Mio Euro

oder

von bis zu 2 %/4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahrs

Bußgeld

23. Oktober 2019

- Zusätzlich oder anstelle- Einzelfallbetrachtung

Bußgeldverfahren und die -zumessung

23. Oktober 2019 Rost - HBDI Seite 15

Europäisierung des Bußgeldverfahrens im Datenschutz

o Neue RechtsgrundlageDS-GVO:Art. 58 Abs. 2 lit. i Abhilfebefugnis Verhängung GeldbußeArt. 83 Allgemeine Bedingungen für die Verhängung von GeldbußenEWG 148, 149, 150, 151

Brücke ins nationale Recht: Art. 58 Abs. 5, Art. 83 Abs. 8 DS-GVO (EWG 148 S. 3)

„Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren unterliegen“


Verfahren

Ø Bußgeldverfahren: § 41 BDSG OWiG, StPO, GVGØ Ausgenommen nach § 41 Abs. 1 u. 2 BDSG:

§§ 17, 35, 36, 56-58,87, 88, 99, 100 OWiG

Modifizierte Verfahrensvorschriften zum OWiG im BDSGo Landgericht entscheidet über Bußgelder > 100 Tsd. EUR§ 41 Abs. 1 BDSG: § 68 OWiG anwendbar, aber: festgesetzte Geldbuße > 100.000 EUR soll Landgericht entscheiden

o Einstellung durch die StA nur mit Zustimmung Aufsichtsbehörde§ 41 Abs. 2 BDSG: § 69 Abs. 4 S. 2 OWiG findet mit der Maßgabe Anwendung, dass die StA das Verfahren nur mit Zustimmung der Aufsichtsbehörde , die den Bußgeldbescheid erlassen hat, einstellen kann


Opportunitätsprinzip

Legalitätsprinzip = es besteht eine Pflicht zur Verfolgung aller strafbaren Handlungen

Opportunitätsprinzip = Die Verfolgung einer Ordnungswidrigkeit steht im pflichtgemäßen Ermessen der Verwaltungsbehörde. (Argumente pro § 47 OWiG: Art. 83 Abs. 8, § 41 BDSG, § 47 OWiG, Art. 70 Abs. 1 lit. k i.V.m. WP 253: Geldbußen sind ein wichtiges Instrument, von dem die Aufsichtsbehörden unter angemessenen Umständen Gebrauch machen sollen)


Tatbestände Art. 83 Abs. 4-6 DS-GVOArt. 83 Abs. 4 10 Mio. EUR/ 2 % d. Umsatz

Art. 83 Abs. 520 Mio. EUR/ 4 % d. Umsatz

Art. 83 Abs. 620 Mio. EUR/ 4 % d. Umsatz

Pflichten der Verantwortlichen und Auftragsverarbeiter gem. Art. 8, 11, 25-39, 42 und 43 (lit. a)

z.B. Art. 33 DS-GVO

Pflichten der Zertifizierungsstelle gem. Art. 42 und 43 (lit. b)

Pflichten der Überwachungsstelle gem.Art. 41 Abs. 4 (lit. c)

lit.a: Grundsätze der Verarbeitung einschließlich der Bedingungen für die Einwilligung Art. 5, 6, 7, 9

lit.b: Rechte der betroffenen Personen Art. 12 bis 22

lit.c: Übermittlung personen-bezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gem. Art. 44 bis 49

lit.d: Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gem. Art. 58 Abs. 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 1

Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gem. Art. 58 Abs. 2


Bestimmung des Rahmens

o Verstoß o 10 oder 20 Mio. oder weltweit erzielte Jahresumsatz des

vorangegangenen Geschäftsjahres des Unternehmens

Unternehmen?


Funktionaler Unternehmensbegriff

„Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden“ (EWG 150, S. 3 DS-GVO)Ø „funktionaler Unternehmensbegriff“ = wirtschaftliche Einheit,

unabhängig von ihrer Rechtsform und der Art der Finanzierung

Ø Wirtschaftliche Einheit kann aus mehreren natürlichen oder juristischen Personen bestehen.

Ø z.B. Muttergesellschaft auf Tochtergesellschaft bestimmenden Einfluss ausübt Ø bestimmender Einfluss i.d.R., wenn Stimmanteil an Tochtergesellschaft z.B. bei 50 % Ø es genügt die tatsächliche Möglichkeit der Kontrolle und Einflussnahme unabhängig

von einer starren Beteiligungsschwelle (s. EuGH v. 10.05.2007, Rs. C-492/04 –Lasertec)

Relevanz: Rahmen Bußgeldfestsetzung und ZurechnungRost - HBDI Seite 2123. Oktober 2019

Unternehmensgeldbuße

Deutschlando Rechtsträgerprinzip

= Festsetzung einer Geldbuße nur zulässig, wenn eine jur. Person oder Personenvereinigung vorliegt (§ 30 OWiG)

= Zurechnung von Verhalten einer ihn repräsentierenden Leitungsperson (§§ 9, 30 OWiG, Többens NStZ 99, 1)

EUo Funktionaler Unternehmensbegriff

= Unternehmen ist jede Einheit, die unabhängig von der Rechtsform und der Art ihrer Finanzierung wirtschaftliche Tätigkeit ausübt.

= Referenzpunkt wirtschaftl. Einheit fungiert als Vereinfachungsmechanismus der Zurechnung in Konzernzusammenhängen


Exkurs: Entschließung der DSK v. 3.4.2019

Problem:Sanktionsadressat der Unternehmensgeldbuße nach § 30 OWiG sind juristische Personen, nicht rechtsfähige Vereine und Personengesellschaften. Eine Leitungsperson i.S. § 30 Abs. 1 OWiG begeht die Anknüpfungstat, die dem Unternehmen zugerechnet wird. Brücke über § 130 OWiG? = Aufsichtspflichtverletzung Inhaber eines Betriebs oder Unternehmens zu Aufsichtsmaßnahmen verpflichtet.

Effet utile Entschließung der DSK vom 3.4.2019:

Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten. Zurechnungsregelung ergibt sich aus Art. 83 DS-GVO


Art. 83 Abs. 1 DS-GVO

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4,5 und 6 in jedem Einzelfall wirksam,

verhältnismäßig und abschreckend

ist.“23. Oktober 2019 Rost - HBDI Seite 24

Bußgeldzumessung (1)

Art. 83 Abs. 2 lit. a – k DS-GVO (zentrale Zumessungsnorm)(§ 17 OWiG nach § 41 Abs. 1 BDSG ausgeschlossen)

Erschwerende und mildernde ZumessungskriterienØ Art, Dauer, Schwere des Verstoßes (lit. a) unter Berücksichtigung von:

- Art, Zweck, Umfang der betreffenden Verarbeitung- Zahl der betroffenen Personen, Ausmaß des erlittenen Schadens

(ggf. Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO)Dauer des Verstoßes: mildernd: identifizierten Verstoß möglichst schnell abstellen. Nicht erst Maßnahme nach Art. 58 Abs. 2 DS-GVO abwarten

erschwerend: es kommt zu einem Vorfall u. zunächst nur ein Datensatz betroffen. Fa. ergreift keine Maßnahmen, es kommt zu einem erneuten Vorfall 1 Jahr später.

Ø Vorsatz oder Fahrlässigkeit des Verstoßes (lit b)23. Oktober 2019 Rost - HBDI Seite 25


o jegliche vom Verantwortlichen oder Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens (lit. c)z. B. Ausprägung des Kooperationsgrundsatz im Bußgeldverfahren = aktives und überobligatorisches Zusammenarbeiten, z.B umgehende Optimierung der IT-Sicherheit und ungefragte Information an die Aufsichtsbehörde; umfassende Information an die Betroffenen, damit diese z.B. Zugangsdaten sichern können, Konten kontrollieren, die eigenen Profile überwachen können.

o Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen (lit. d)z.B. Wird in die TOMs investiert? Datenschutzfreundliche Voreinstellungen? Stand der Technik

o Etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters (lit. e) z.B. Unternehmen war in der gleichen Konstellation bereits auffällig (Verwarnung) Der zweite gleiche Vorfall wird umso empfindlicher geahndet.



o Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu verhindern (lit. f)z.B. Aufarbeitung der Situation, Kommunikation, alles was die Arbeit der Aufsicht erleichtert, nicht zäh aus der Nase ziehen, was offen auf der Hand liegt und durch Prüfung aufgedeckt werden kann

o Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind (lit. g) z.B. Art. 9 DS-GVO: Gesundheitsdaten, religiöse oder weltanschauliche Überzeugungen, Daten sexueller Orientierung

o Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde und ggf. in welchem Umfang (lit. h)

o Einhaltung der nach Art. 58 Absatz 2 früher gegen den Betreffenden festgesetzten Maßnahmen in Bezug auf denselben Gegenstand (lit. i)


Konzept der DSK zur Bußgeldzumessung (1)

o WP 253 v. 3.10.2017: einheitliche Auslegung Art. 83 Abs. 2 DS-GVOo DSK legt am 16.10.2019 ein Konzept zur Bußgeldzumessung vor.

Gestaltet die Vorgaben aus Art. 83 DS-GVO aus und ist auf Fortentwicklung angelegt.

o Nach Art. 70 Abs. 1 lit. k DS-GVO ist eine Harmonisierung der Festsetzung von Geldbußen durch Leitlinien zu fördern.

o Veränderungen und Ergänzungen des Konzepts sowie der Praxis der Aufsichtsbehörden sind aufgrund neuer Erkenntnisse aus den europaweiten Abstimmungen möglich.

o Bußgeldzumessung im Verfahren gegen Unternehmeno Konzept nicht für grenzüberschreitende Fälle, bindet nicht andere

Datenschutzaufsichtsbehörden in der EU


Konzept der DSK zur Bußgeldzumessung (2)

Zumessung in 5 Schritten: 1. Zuordnung des betroffenen Unternehmens einer Größenklasse 2. Mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse3. Wirtschaftlicher Grundwert4. Grundwert wird mittels eines von der Schwere der Tatumstände

abhängigen Faktor multipliziert5. Unter 4. ermittelte Wert wird anhand täterbezogener und noch nicht

Berücksichtigte Umstände angepasst

nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung


Herausforderungen

o EDSAn Zusammenarbeit und Kohärenzverfahrenn Leitlinien des EDSAn Elektronisches Register i.S.d. Art 70 Abs. 1 lit. y DS-GVO

o Diskussionsbedarf europaweit/nationaln Tatbestände und Bestimmtheitsgebotn Kappungsgrenze oder Bußgeldrahmenn Transparenz der Bußgeldhöhenn Rechtsträgerprinzip versus funktionalem Unternehmensbegriff


Vielen Dank für Ihre Aufmerksamkeit J

Maria Christina Rost

Der Hessische Beauftragte für Datenschutz und InformationsfreiheitPersönliche Referentin/ Justiziariat/ Stellvertr. Pressesprecherin/

Gustav-Stresemann-Ring 1, 65189 WiesbadenTelefon 0611 / 1408-119; http://www.datenschutz.hessen.de

[email protected]
http://www.datenschutz.hessen.de/

Präsentation CRost BvD Herbstkonferenz 23.10€¦ · §41 Abs. 1 BDSG:§68 OWiG anwendbar, aber:...

Documents

Transcript of Präsentation CRost BvD Herbstkonferenz 23.10€¦ · §41 Abs. 1 BDSG:§68 OWiG anwendbar, aber:...