Top

DSGVO 2018: Mögliche Sanktionen bei Nichteinhaltung (Teil 3/3)

Zihr – Ihr PartnerAllgemein DSGVO 2018: Mögliche Sanktionen bei Nichteinhaltung (Teil 3/3)

DSGVO 2018: Mögliche Sanktionen bei Nichteinhaltung (Teil 3/3)

Heute, am 25.5. 2018, hat Sie (endlich) Ihre Gültigkeit erlangt – Ja genau, die Rede ist von der DSGVO 2018. Im letzten Beitrag meiner DSGVO-Blog-Trilogie möchte ich noch kurz auf die möglichen Sanktionen eingehen

So habe ich die letzten Wochen vor dem 25.5. erlebt

In Gesprächen mit UnternehmerInnen habe ich insbesondere in den letzten 2-3 Wochen unterschiedlichste Meinungen auf die seitens der Datenschutzbehörde angedrohten Strafen bei Nicht-Einhaltung der DSGVO-Richtlinien wahrgenommen. Von panikähnlichen Zuständen bis hin zu Aussagen „Es wird schon nichts passieren, das wird alles nur übertrieben“ oder „Wo kein Kläger, da kein Richter“ waren alle Auffassungen und Gemütszustände vertreten. Dass eine gewisse Panik entstanden ist kann ich aus heutiger Sicht sehr gut nachvollziehen bzw. für mich beantworten: Insbesondere in den (sozialen) Medien wurde viel über die neue EU-Richtlinie berichtet. Dem Thema DSGVO ist man daher schon einmal kaum entkommen. Darüber hinaus gab es (aus meiner Sicht) unterschiedlichste Auslegungen der Richtlinie, die je nach Branche stärker oder schwächer ausgeprägt waren. Ein großes Set an neuen Begrifflichkeiten verstärkte die vorherrschenden Unsicherheiten – Eine Mischung aus Angst (vor hohen Strafen) und Unsicherheiten (zur DSGVO Richtlinie) kann nur Panik aufbringen. Doch wie hoch sind die angedrohten Strafen wirklich ? Wie legt Österreich die EU-Richtlinie aus ? Der Blogbeitrag soll hier wieder etwas Licht ins Dunkle bringen.

Wo kein Kläger, da kein Richter?

Mit dem altbekannten Sprichwort möchte ich nun näher auf die möglichen “Kläger” und “Richter” in der DSGVO eingehen.

In erster Linie stellen wir uns die Frage: Wer kann nun alles Kläger sein?

Jede Person! (=Beschwerdeführer), die glaubt, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht rechtmäßig geschieht, hat das Recht auf eine Beschwerde bei der Datenschutzbehörde. Die Datenschutzbehörde hat den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs zu informieren.

Beispiel: Eine Person sendet Ihnen via Kontaktformular, das Sie auf Ihrer Unternehmenswebsite als eigenen Service zur Verfügung stellen, eine Anfrage zu Ihrer Dienstleistung oder Ihren Produkten. Diese Person bemerkt anschließend, dass Sie auf Ihrer Website keine Informationen zum Datenschutz gemäß DSGVO bekanntgeben, eine gesonderte Bestätigung vor dem Absenden der Fomulardaten wurde ebenfalls nicht angefordert. Diese Person kontaktiert umgehend die Datenschutzbehörde und bringt den Fall zur Anzeige.

Die Person, die die Beschwerde bei der Datenschutzbehörde eingebracht hat, hat nun eine besondere Stellung in dem Beschwerdeprozess. Die Aufsichtsbehörde muss den Beschwerdeführer innerhalb von 3 Monaten über den Verfahrensstand oder das Ergebnis einer aufgrund der Beschwerde eingeleiteten Überprüfung informieren. Darüber hinaus haben die Personen, die die Beschwerde bei der Datenschutzbehörde einbringen, das Recht auf einen wirksamen, gerichtlichen Rechtsbehelf beim Bundesverwaltungsgericht.

Wer übernimmt bei der DSGVO die Rolle des “Richters”?
In erster Linie ist hier die Datenschutzbehörde zu nennen. Sie ist eine unabhängige hoheitliche Einrichtung/Organisation des Bundes, die die Einhaltung einerseits, den Strafvollzug andererseits vornimmt. Folgende Aussage habe ich bei einem DSGVO Seminar durch den Trainer sinngemäß mitgenommen: “Die Datenschutzbehörde ist mit Ihren Rechten im Zusammenhang mit Prüfungen sehr ähnlich der Finanzpolizei”
WKO-Auszug über Rechte der DSB: Die Datenschutzbehörde ist nach Verständigung des Inhabers der Räumlichkeiten und des Verantwortlichen oder des Auftragsverarbeiters berechtigt, Räume, in welchen Datenverarbeitungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen.

Konkrete Strafhöhe

Grundsätzlich ist die Datenschutzbehörde berechtigt ein Strafmaß in der Höhe von 4% des Vorjahresumsatzes, max. 20.000.000,- im Falle von nachweislichen Verstößen zu verhängen. Es wird dabei nicht unterschieden, ob es sich um einen Kleinunternehmer, oder um einen großen Konzern handelt.

Beispiel: Frau Mayer ist seit 8 Jahren Einzelunternehmerin – Ihr Jaresumsatz betrug im Vorjahr 240.000,- . Eine stichprobenartige Überprüfung der Datenschutzbehörde bei Frau Mayer ergab, dass Sie personenbezogene Daten über die Behaltedauer speichert, Ihre Website keine Informationen über die Speicherung von personenbezogenen Daten enthält und darüber hinaus kein Verarbeitungsverzeichnis vorliegt. Die Datenschutzbehörde legt ein Strafausmaß von 4% fest -> Frau Mayer muss 9.600,- Strafe zahlen

 

Ob das beschriebene Worst-Case Szenario für Frau Mayer so eintreten kann und wird, wird sich an den ersten Aktionen der Datenschutzbehörde zeigen.
Glaubt man den Medienberichten aus April 2018 wurde von der Österreichischen Regierung kundgetan, dass in erster Linie Verwarnungen ausgesprochen werden und es erst im Wiederholungsfall zu Strafen kommen wird. Sich als UnternehmerIn deshalb auf der sicheren Seite zu sehen, wenn man ab 25.5. mit seinem Unternehmen nicht DSGVO konform ist, wäre jedoch aus meiner Sicht überzogen und doch fahrlässig.

Hinweis: Die Datenschutzbehörde ist in jedem Fall eine eigenständige bzw. unabhängige Einrichtung, die sich selbst erhalten muss und demnach in jedem Fall bestrebt sein wird, nicht nur Verwarnungen auszusprechen, sondern bei Verstößen (auch wenn diese erstmalig auftreten) auch Strafen zu verhängen und diese einzufordern.

Schon gewusst: Unter dsb@dsb.gv.at können Sie einen Newsletter der Datenschutzbehörde abonnieren.