News

Im Zusammenhang mit der GDPR und den damit verbundenen niederländischen Datenschutzgesetzen wie z. B. dem Telekommunikationsgesetz hat die niederländische DPA vier Kategorien mit spezifischen Bereichen und Grundstrafen für jede Art von Gesetzgebung definiert.

Im Anhang der Richtlinie ist die Art des GDPR-Verstoßes auf einen bestimmten GDPR-Artikel bezogen und diese Verstöße werden in die Kategorien I, II, III, IV (Kat. I € 0 bis € 200.000, Grundstrafe € 100.000, Kat. II € 120.000 bis € 500.000, Grundstrafe € 250.000, Kat. III € 300.000 bis € 750.000, Grundstrafe € 525.000, Kat. IV € 450.000 bis € 1.000.000.000, Grundstrafe € 725.000) unterteilt. Dies sind relativ niedrige Geldbußen, wenn man die in Artikel 83 der GDPR genannten Höchststrafen berücksichtigt.

Die Grundstrafen können je nach den relevanten Faktoren in Artikel 7 dieser Richtlinie erhöht oder verringert werden. Diese relevanten Faktoren sind:

a) Art, Schwere und Dauer der Zuwiderhandlung unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung, der Anzahl der betroffenen Personen und des Umfangs des ihnen entstandenen Schadens.

b) Die vorsätzliche oder fahrlässige Art der Verletzung.

c) Die Maßnahmen, die der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter getroffen hat, um den Schaden für die betroffenen Personen zu begrenzen.

d) Das Ausmaß, in dem der Kontrolleur oder der Verarbeiter unter Berücksichtigung der technischen und organisatorischen Maßnahmen, die gemäß den Artikeln 25 und 32 der GDPR zu ergreifen waren, verantwortlich ist.

e) Frühere Verstöße, gegebenenfalls durch den Kontrolleur oder den Verarbeiter.

f) Umfang der Zusammenarbeit mit der niederländischen DPA, um den Verstoß zu beheben und die möglichen negativen Folgen zu verringern.

g) Die Kategorien von personenbezogenen Daten, die von der Verletzung betroffen sind.

h) Die Art und Weise, in der die niederländische DPA über den Verstoß informiert wurde, und ob der Kontrolleur oder der Verarbeiter den Verstoß gemeldet hat.

i) inwieweit der Kontrolleur oder der Verarbeiter alle früheren Maßnahmen der niederländischen DPA gemäß Artikel 58 Absatz 2 der GDPR eingehalten hat.

j) Einhaltung der genehmigten Verhaltenskodizes gemäß Artikel 40 der GDPR oder der genehmigten Zertifizierungsmechanismen gemäß Artikel 42 der GDPR.

k) Alle anderen Umstände, die als erschwerende oder mildernde Faktoren angesehen werden können, wie z. B. realisierte finanzielle Gewinne oder vermiedene Verluste, unabhängig davon, ob sie unmittelbar aus der Verletzung resultieren oder nicht.

Führt die spezifische Verletzungskategorie in einem konkreten Fall nicht zu einer als angemessen angesehenen Geldbuße, kann die niederländische DPA entweder eine Geldbuße in einem bestimmten Bereich oder in einer höheren oder niedrigeren Kategorie wählen oder die Geldbuße um 50 % erhöhen.

In ganz besonderen Fällen kann entweder die Höchststrafe von 10 Mio. € oder 20 Mio. € nach Artikel 83 der GDPR oder eine Geldbuße in Höhe von 2 oder 4 % des Jahresumsatzes des Unternehmens im jeweiligen Geschäftsjahr verhängt werden. In diesen Situationen handelt die niederländische DPA außerhalb der Grenzen der in ihrer eigenen Richtlinie genannten spezifischen Bereiche.

Die finanzielle Situation eines Täters kann zu ermäßigten Bußgeldern führen. Im Falle von kumulierten Verstößen wird die Höchststrafe für den schwersten Verstoß verhängt.

Die niederländische DPA ist die erste DPA, die ihre eigene Politik definiert hat, und vielleicht wird es die DPAs in anderen EU-Ländern inspirieren.

Bob Cordemeyer (Cordemeyer & Slager Advocaten) EuroCloud CPC partner