DSGVO: Der Bußgeldrahmen wird erhöht

Die drastische Erhöhung des Bußgeldrahmens von auf bis zu 20 Millionen Euro wird sich mittelbar auch auf KMUs auswirken.

Der erhöhte Bußgeldrahmen richtet sich vor allem an Großunternehmen, bei denen zum Beispiel die maximalen deutschen Bußgeldgrenzen von 50.000 Euro (im Telemediengesetz, TMG) und 300.000 (im BDSG) kaum Abschreckung entfalteten.

Nunmehr können Bußgelder bis zu zehn Millionen Euro oder bei Unternehmen bis zu zwei Prozent des weltweiten Jahresumsatzes und in schweren Fällen bis zu 20 Millionen Euro, respektive vier Prozent des Umsatzes betragen.

10.000.000,00 €
oder 2 % des Jahresumsatzes zum Beispiel:

  • Benennung: Es wurde kein Datenschutzbeauftragter oder eine unqualifizierte Person benannt,
    Art. 37 V DS-GVO.
  • Verfahrensverzeichnis: Es wurden keine ordnungsgemäßen Verfahrensverzeichnisse geführt,
    Art. 30 Abs. 1 DS-GVO.
  • Auftragsverarbeiter-Vertrag: Es wurde kein Vertrag mit einem Auftragsverarbeiter geschlossen,
    Art. 28 Abs. 3 Alt. 1 DS-GVO.
  • Datenschutz-Folgenabschätzung: Es wurden keine Datenschutz-Folgenabschätzungen durchgeführt,
    Art. 35 DS-GVO.

20.000.000,00 €
oder 4 % des Jahresumsatzes zum Beispiel:

  • Fehlende Rechtsgrundlage: Personenbezogene Daten wurden unerlaubterweise verarbeitet,
    Art. 6 Abs. 1 lit. a-f DS-GVO.
  • Übermittlung: Es wurde kein Standardvertrag mit einem Empfänger in einem Drittstaat geschlossen, sofern keine sonstigen geeigneten Garantien bestehen, Art. 46 Abs. 2 lit. c DS-GVO.
  • Betroffenenrechte: Die Betroffenenrechte sind nicht gewährleistet, Art. 15-21 DS-GVO.

All die vorgenannten Änderungen zusammenfassend zwingt der Gesetzgeber Unternehmen zur Professionalisierung des Datenschutzes. Wie dies in der Praxis umzusetzen ist, erkläre ich in den nächsten Artikeln dieser Beitragsreihe.