Jeder der von der DSGVO hört, denkt zwangsläufig an die immensen Strafen, die bei einem DSGVO Verstoß im Raum stehen. Bis zu 20 Millionen Euro oder 4% des globalen Jahresumsatzes können fällig werden. Jedoch immer der höhere Betrag. Wie bei einem Verstoß gehandelt werden muss, legen Art. 33 und 34 der DSGVO fest.
Doch nicht bei jeder Datenschutzverletzung werden diese hohen Strafen fällig. Je nach Art der Verletzung und den getroffenen Maßnahmen wird das Bußgeld festgelegt, nach dem Motto: „wirksam, verhältnismäßig und abschreckend“. Die zuständige Aufsichtsbehörde wird jede Datenschutzverletzung nach bestimmten Kriterien prüfen, um anschließend über das Bußgeld entscheiden zu können.
Die Kriterien umfassen:
- Art, Schwere und Dauer des Verstoßes
- Vorsätzlichkeit bzw. Fahrlässigkeit
- Welche Maßnahmen wurden getroffen, um den Schaden zu minimieren?
- Welche technischen und organisatorischen Maßnahmen (TOMs) wurden getroffen?
- Gab es frühere Verstöße des Unternehmens?
- Wie intensiv und bereitwillig wurde mit der Aufsichtsbehörde zusammen gearbeitet?
- Welche Art personenbezogener Daten ist betroffen?
- Wurde der Verstoß selbst gemeldet?
- Wurden alle Maßnahmen, die vom Unternehmen angedacht waren, auch angewandt?
- Hat das Unternehmen einen finanziellen Vorteil durch den Verstoß?
Artikel 82 der DSGVO bezieht sich neben den Bußgeldern auch auf die Haftung und das Recht auf Schadensersatz. Denn der Betroffene hat, sofern materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegenüber den Verantwortlichen.
Im Falle eines DSGVO Verstoß egal ob Datenpanne oder Datenschutzverletzung muss dies direkt an die zuständige Aufsichtsbehörde gemeldet werden. Dies muss innerhalb von 72 Stunden erfolgen und eine Beschreibung der Art der Verletzung, Kategorien und Zahl der betroffenen Personen und Datensätze enthalten. Name und Kontaktdaten bzw. eine Anlaufstelle muss der Aufsichtsbehörde mitgeteilt werden. Die möglichen Folgen sollten beschrieben und ergriffene oder vorgeschlagene Maßnahmen zur Abmilderung vorgestellt werden.
Ebenso muss die betroffene Person davon unterrichtet werden, sofern ein hohes Risiko für die persönlichen Rechte und Freiheiten der Person besteht. Passiert eine Datenpanne im Rahmen einer Auftragsdatenverarbeitung, so muss auch der jeweilige Vertragspartner darüber informiert werden, sofern seine Daten von der Datenpanne betroffen sind.