Der Richtlinie ist ein Bußgeldkatalog mit einem 4-Kategorien-System zu entnehmen, in dem Beispiele für Verstöße gegen bestimmte Vorschriften der DSGVO je nach Unternehmensgröße und Maximalhöhe der möglichen Geldbuße aufgeführt werden. In den fünf Anlagen der Richtlinie finden sich detaillierte Auflistungen zur Gewichtung einzelner Datenschutzverstöße. Beispielhaft sind folgende Einstufungen zu nennen:
Für bestimmte Arten von Datenschutzverletzungen wird in der Richtlinie noch weiter differenziert. So findet sich insbesondere für Telekommunikationsanbieter der Grundsatz, dass die Geldbuße im Falle eines wiederholten Datenschutzverstoßes grundsätzlich um 50% zu erhöhen ist (vgl. Art. 8.2 der Bußgeldrichtlinie). Von einer Wiederholungstat wird ausgegangen, wenn gegen das Unternehmen in einem Zeitraum von weniger als fünf Jahren bereits ein Bußgeld für einen Verstoß der gleichen oder ähnlichen Art verhängt wurde.
Im Rahmen der Bemessung der konkreten Strafe sollen gemäß Art. 7 der Bußgeldrichtlinie unter anderem folgende Kriterien herangezogen werden:
- Art und Schwere der Verletzung unter Berücksichtigung von Umfang und Dauer der Verletzung
- die vorsätzliche oder fahrlässige Art der Verletzung;
- die Maßnahmen des für die Verarbeitung Verantwortlichen oder des Verarbeiters zur Begrenzung des Schadens der betroffenen Personen;
- frühere relevante Verstöße des Kontrolleurs oder des Verarbeiters;
- die Art und Weise, in der die Aufsichtsbehörde von der Verletzung Kenntnis erlangt hat;
- ob und wenn ja, inwieweit der Kontrolleur oder der Verarbeiter die Zuwiderhandlung gemeldet hat.
Fazit
Die Bußgeldrichtlinie zeigt anschaulich, dass das Thema Datenschutz von den Behörden weiter ernstgenommen und auch mit Nachdruck behandelt wird. Die niederländische Bußgeldrichtlinie gibt Unternehmen damit einen ersten guten Einblick, was Ihnen im Falle eines Datenschutzverstoßes blühen kann. Die niederländische Aufsichtsbehörde will mit den klaren Vorgaben Transparenz und Nachvollziehbarkeit in der Bußgeldpraxis schaffen. Die Rechtsdurchsetzung soll effizienter werden; die Bandbreite und Höhe der Bußgelder soll abschrecken (vgl. Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens vom 14. März 2019).
Für die Praxis sind neben dem für die einzelnen Verstöße benannten Bußgeldrahmen die „weichen“ Kriterien zur Bemessung der Bußgeldhöhe von hohem Interesse. Insbesondere die vorstehend unter Ziffer (5) und (6) benannten Kriterien zeigen deutlich, dass im Bereich des Datenschutzes ein offener Umgang mit der Aufsichtsbehörde und eine rasche Bearbeitung von etwaig erkannten oder beanstandeten Verstößen zu empfehlen ist. Die niederländische Aufsichtsbehörde bringt in der Richtlinie damit konkret zum Ausdruck was auch in Entscheidungen deutscher Aufsichtsbehörden zu erkennen ist: Kooperationsbereitschaft und ein transparentes Vorgehen kann sich strafmildernd auswirken. Ein Zitat aus der Pressemitteilung des LfDI Baden-Württemberg vom 22. November 2018 sagt insoweit mehr aus als tausend Worte:
„Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen.“
Unsere Empfehlung
Sollte es in Ihrem Unternehmen zu einem datenschutzrechtlichen Vorfall kommen, versuchen Sie nicht, diesen zu vertuschen! Gehen Sie vielmehr offen und mit Unterstützung Ihres Datenschutzbeauftragten und/oder rechtlicher Unterstützung auf die Aufsichtsbehörde zu.
Autor: Yvonne Quad