Datenschutz: „Erste Strafe verhängt“ – drohen doch „Millionenstrafen“ nach der DSGVO?

https://www.sn.at/wirtschaft/oesterreich/datenschutz-erste-strafe-verhaengt-40222537#login

Gemäß Salzburger Nachrichten hat die Datenschutzbehörde jüngst eine Geldstrafe von € 4.800.- gegen den Betreiber eines Wettlokals verhängt. Die Videoüberwachung war nicht ausreichend gekennzeichnet und hat einen größeren Teil des öffentlichen Gehsteigs mitaufgezeichnet – war daher unzulässig.

Dazu hat der stellvertretende Leiter der Datenschutzbehörde, Dr. Schmidl, (laut SN) mitgeteilt, eine Millionenstrafe wäre in diesem Fall nicht verhältnismäßig gewesen.

Müssen größere und große Unternehmen seit dem 25.5.2018 also doch mit „Millionenstrafen“ rechnen, sofern diese verhältnismäßig sind?

Die Entscheidung mag den überraschen, der jüngsten Zeitungsmeldungen geglaubt hat, dass Unternehmen in Österreich im Datenschutz „keine Strafen befürchten“ müssten (Verwarnen statt strafen).

Die von den SN beschriebene Entscheidung der Datenschutzbehörde ist (noch) nicht öffentlich zugänglich – leider, denn die nähere Begründung für die Strafe und deren Höhe wäre sehr interessant.

Im Leitfaden zur DSGVO (Seite 40f) hat die Datenschutzbehörde bereits im Juli 2018 klargestellt, dass es nach Inkrafttreten der DSGVO (25.5.18) keine Übergangsfrist gibt, während der Geldbußen nicht verhängt werden.

Richtig ist zwar, dass die Behörde insbesondere verwarnen soll (§ 11 DSG), dies aber nur, sofern dies angemessen erscheint, nämlich auch unter Berücksichtigung von Kriterien (Art 83 Abs 2 DSGVO) wie

  • einschlägige frühere oder erstmalige Verstöße?
  • riskante Verarbeitungsart, sensible Daten, viele Betroffene, hoher Schaden?
  • vorsätzlicher oder fahrlässiger Verstoß?

Spezielle Regelungen für eine zulässige Bildverarbeitung finden sich in §§ 12 f DSG. Für einen Verstoß dagegen drohen „nur“ bis zu € 50.000.- (§ 62 Abs 1 Z 4 DSG). Auch Verstöße gegen die DSGVO waren zur gegenständlichen Bildverarbeitung wohl zu prüfen, etwa eine Verletzung des Grundsatzes Datenminimierung (Art 5 DSGVO) und/oder der Informationspflichten (Art 13+14 DSGVO). Für solche Verstöße drohen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art 83 Abs. 5 DSGVO).

Geldbußen müssen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein (Art 83 Abs 1 DSGVO). Im oben zitierten Leitfaden der Datenschutzbehörde steht dazu, dass Kleinunternehmen nicht mit einer Geldbuße von € 20 Mio. rechnen müssen, weil dies nicht verhältnismäßig wäre.

Größere und große Organisationen hingegen müssen also im Fall von Verletzungen der DSGVO bzw. des DSG offenbar doch bereits mit hohen Strafen rechnen, sofern diese verhältnismäßig sind.

Ihre Anmerkungen und Fragen bitte an: office@frank-law.at

24.09.2018