Da die allgemeine Datenschutzverordnung (GDG oder GDPR) die meisten Unternehmen betreffen wird, ist es ratsam, sich der Konsequenzen bewusst zu sein, wenn Sie gegen ihre Bestimmungen verstoßen.
Wer beaufsichtigt die AVG?
Die Datenschutzbehörde (AP) ist die Aufsichtsbehörde in den Niederlanden, die für die Überwachung und Durchsetzung der Einhaltung des AVG zuständig ist.
Pflicht zur Meldung eines Verstoßes
Führt eine Verletzung des Schutzes personenbezogener Daten zu einem wahrscheinlichen Risiko für die Rechte und Freiheiten einer betroffenen Person, müssen die für die Datenverarbeitung Verantwortlichen den Datenschutzbeauftragten "unverzüglich und nach Möglichkeit spätestens 72 Stunden, nachdem sie davon Kenntnis erlangt haben", über die Verletzung informieren. Besteht ein hohes Risiko für eine betroffene Person, müssen ihr ebenfalls die vorgeschriebenen Informationen zur Verfügung gestellt werden.
Der AP sollte über Folgendes informiert werden:
- die Art des Verstoßes
- den Namen und die Kontaktdaten Ihres Datenschutzbeauftragten (falls zutreffend)
- die voraussichtlichen Auswirkungen des Verstoßes; und
- die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Begrenzung des Verstoßes.
Befugnisse des AP
Der Datenschutzbeauftragte hat nach dem AVG Ermittlungs- und Korrekturbefugnisse. Zu den Korrekturbefugnissen gehören: das Aussprechen von Warnungen, die Anordnung der Erfüllung von Anträgen einer betroffenen Person auf Ausübung ihrer Datenschutzrechte, die Anordnung der Einhaltung des AVG und die Anordnung von Beschränkungen der Datenverarbeitungstätigkeiten.
Obwohl der Datenschutzbeauftragte auch befugt ist, Geldbußen zu verhängen, kann bei relativ geringfügigen Verstößen die Ausübung der oben genannten Abhilfebefugnisse ausreichen, um eine Datenschutzverletzung zu beheben. Das Versäumnis, einen Verstoß zu melden, ist jedoch einer der erschwerenden Faktoren für die Verhängung einer Geldstrafe.
Geldbußen nach dem AVG
Unternehmen können bei den schlimmsten Verstößen mit Geldbußen von bis zu 20.000.000 € oder 4 % des gesamten weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Es gibt jedoch eine Reihe von Faktoren, die die Aufsichtsbehörde bei der Verhängung und Höhe einer Geldstrafe "gebührend berücksichtigen" muss:
- Art, Schwere und Dauer des Verstoßes;
- Verursachte Schäden;
- Vorsatz oder Fahrlässigkeit;
- Abmilderung durch den für die Verarbeitung Verantwortlichen;
- Angemessenheit der bestehenden Schutzvorkehrungen;
- Einschlägige frühere Verstöße, angeordnete Abhilfemaßnahmen und Einhaltung von Anordnungen;
- Der Grad der Zusammenarbeit mit dem AP;
- Wie der AP davon erfahren hat, einschließlich der Frage, ob (und in welchem Umfang) die Organisation eine Mitteilung gemacht hat; und
- Alle anderen erschwerenden oder mildernden Faktoren.
Fazit: Vorbeugen ist besser als heilen
Bei eindeutigen Verstößen gegen das AVG ist eine ordnungsgemäße Meldung des Verstoßes an den Datenschutzbeauftragten und die Zusammenarbeit mit ihm immer die beste Option.
Aber: Vorbeugen ist besser als heilen
Wie können Sie sensible Informationen schützen und verhindern, dass sie versehentlich weitergegeben werden? Mit SharePoint haben Sie die richtige Grundlage für ein gutes Dokumentenmanagement.