Neues vom Bußgeldkatalog
In meinem letzten Blog-Beitrag vom 1.10. ging es um Bußgelder und Gerüchte darüber, wie diese künftig von den Aufsichtsbehörden berechnet werden sollen.
Zwischenzeitlich hat sich das Gerücht bewahrheitet: In der Pressemitteilung vom 16.10.2019 der Konferenz der Datenschutzbeauftragten der Länder und des Bundes (DSK) wurde das Berechnungsschema dargestellt.
In einer gestaffelten Tabelle können Bußgelder berechnet werden:
Tagessatz (basierend auf Umsatz des Vorjahres) * Faktor (Schwere des Verstoßes 1 – 12)
Ein Beispiel anhand der Berechnungsformel:
Ein Betrieb verarbeitet umfangreiche Bestände personenbezogener Daten (für die eine Einwilligung nach Art.6 Abs.1 lit. a DSGVO bestehen müsste) ohne die entsprechende Einwilligung eingeholt zu haben.
Wenn das Unternehmen im letzten Geschäftsjahr ca. 1 Mio € Jahresumsatz erwirtschaftet hat, läge der Tagessatz laut der Tabelle bei 2917,00 €.
Die Aufsichtsbehörde setzt dafür wegen der Schwere des Verstoßes den Faktor 10 an.
Somit läge das Bußgeld bei 29.170,00 €.
Hätte das Unternehmen 25 Mio € Jahresumsatz erwirtschaftet, würde der Tagessatz 62.500€ betragen.
Beim o.g. Verstoß würden also 620.500 € Bußgeld fällig werden.
Tatsächlich wurden in letzter Zeit auch relativ hohe Bußgelder verhängt:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat gegenüber eines Krankenhauses in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 € verhängt, weil Patienten bei der Aufnahme verwechselt wurden (Link zu Pressemeldung).
Die ePrivacy-Verordnung liegt auf Eis
Die EU bastelt ja schon länger an der ePrivacy-Verordnung. Diese soll die Privatsphäre und elektronische Kommunikation als EU-Verordnung regeln und die ePrivacy-Richtlinie 2002/58/EG ablösen.
Ursprünglich sollte die ePrivacy-VO schon zeitgleich mit der DSGVO kommen, was aber mangels Konsens in der Europäischen Kommission scheiterte.
Ein neuer Anlauf für einen neuen Entwurf soll im Zuge der bevorstehenden kroatischen EU-Präsidentschaft erfolgen (Link).
Zweites Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG)
Das 2. DSAnpUG wurde im Bundesgesetzesblatt veröffentlicht und trat zum 26.11.2019 in Kraft.
Das Gesetz nimmt 154 Änderungen diverser Fachgesetze vor. Für den betrieblichen Datenschutz sind zwei Änderungen besonders wichtig:
Die sehr kontrovers diskutierte Anhebung der Grenze der Bestellpflicht für einen betrieblichen Datenschutzbeauftragten lt. §38 Abs. 1BDSG (neu) von 10 auf 20 Personen.
Diskutiert wurde hier besonders deshalb, weil diese Änderung eigentlich keine Erleichterung bringt. Im Gegenteil! Da nun in kleinen Unternehmen kein Datenschutzbeauftragter mehr bestellt werden muss, wird die Gefahr erhöht, dass die Datenschutz-Vorschriften nun weniger beachtet werden. Denn auch Unternehmen, die unterhalb der Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten liegen, müssen sehr wohl die Gesetze einhalten.
Wichtige Eckpunkte dabei sind:
- Die umfangreichen Dokumentationspflichten wie bspw. die Erstellung und Pflege der Verarbeitungsverzeichnisse.
- Transparenz- und Informationspflichten zu den durchgeführten Verarbeitungen personenbezogener Daten gegenüber den betroffenen Personen.
- Bewertung und Festlegung geeigneter Schutzmaßnahmen für die Verarbeitungstätigkeiten unter Berücksichtigung eines risikobasierten Ansatzes.
- Gewährleistung der Melde- und Benachrichtigungspflichten im Fall von Datenschutzvorfällen.
- Sicherstellung von Prozessen zur Erfüllung der Betroffenenrechte.
- Berücksichtigung der Datenschutzgrundsätze sowie der Vorgaben zu „privacy by design/default“ bereits bei der Planung einer Datenverarbeitung.
- Schulung und Information der Mitarbeiter zu den Anforderungen des Datenschutzrechts.
- Durchführung einer Datenschutzfolgenabschätzung bei hohem Risiko einer Verarbeitung (dies löst gem. § 38 Abs. 1 S.2 BDSG eine eigene, von der Personenzahl unabhängige Benennungspflicht aus)
Beachten Sie dazu auch meinen Blog-Beitrag vom 11.08.2019.
Eine Erleichterung bringt die Änderung im § 26 Abs. 2 Satz 3 BDSG (neu) . Die Schriftformerfordernis für die Einwilligung im Beschäftigtenverhältnis entfällt und wird durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.
Dadurch können Einwilligungen auch per Website-Formular oder E-Mail gegeben werden.
Wichtig ist hierbei aber immer zu beachten, dass die Einwilligung nachvollziehbar sein muss und der Verantwortliche die Einwilligung nachweisen können muss. Siehe hierzu auch Art. 7 Abs. 1 DSGVO.
