Antwort
In der Datenschutz-Grundverordnung sind verschiedene Möglichkeiten für Datenschutzbehörden im Fall der Nichtbefolgung der Datenschutzvorschriften vorgesehen.
- Bei einem möglichen Verstoß kann eine Warnung ausgesprochen werden.
- Bei einem Verstoß umfassen die Möglichkeiten eine Verwarnung, ein vorübergehendes oder endgültiges Verbot der Verarbeitung sowie eine Geldbuße in Höhe von bis zu 20 Mio. EUR bzw. 4 % des weltweiten jährlichen Gesamtumsatzes des Unternehmens.
Es ist anzumerken, dass die Datenschutzbehörde bei einem Verstoß eine Geldbuße anstelle oder zusätzlich zur Verwarnung und/oder dem Verbot der Verarbeitung auferlegen kann.
Die Behörde muss sicherstellen, dass die in jedem Einzelfall verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sind. Sie wird eine Reihe an Faktoren zurate ziehen, zum Beispiel Art, Schwere und Dauer des Verstoßes, seine Vorsätzlichkeit oder Fahrlässigkeit, die getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, den Umfang der Zusammenarbeit des Unternehmens/der Organisation usw.
Beispiel
Ein Unternehmen vertreibt über das Internet Haushaltswaren. Auf der Website können Kunden Küchengeräte, Tische, Stühle und andere Haushaltswaren erwerben, indem sie ihre Bankdaten eingeben. Die Website hat einen Cyberangriff erlitten, wodurch personenbezogene Angaben dem Angreifer verfügbar gemacht wurden. Das Fehlen geeigneter technischer Maßnahmen des Unternehmens war in diesem Fall offenbar die Ursache für den Datenverlust.
Die Aufsichtsbehörde berücksichtigt hier verschiedene Faktoren, bevor sie darüber entscheidet, welche Abhilfemaßnahmen sie trifft. Zu den Faktoren zählen unter anderem: Wie schwerwiegend war der Fehler im IT-System? Wie lange war die IT-Infrastruktur einem solchen Risiko ausgesetzt? Wurden in der Vergangenheit Tests durchgeführt, um einen solchen Angriff zu verhindern? Von wie vielen Kunden wurden Daten gestohlen/offengelegt? Welche Arten personenbezogener Daten waren betroffen – gehörten dazu auch sensible Daten? All diese und weitere Erwägungen werden von der Aufsichtsbehörde berücksichtigt.
Referenzen
Example
A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.
In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.