DE

Auskunft per unverschlüsselter E-Mail ist Datenschutzverletzung

Eine Person begehrte per E-Mail Auskunft von einem Unternehmen über alle über ihn gespeicherten Daten in schriftlicher Form. Das Unternehmen übersandte der Person daraufhin eine Übersicht der digital verarbeiteten Daten – per unverschlüsselter E-Mail. Darüber hinaus wurden die gespeicherten personenbezogenen Daten der Person ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Ausserdem rügte die Person eine unvollständige Erteilung der Datenauskunft.

Unverschlüsselte Übermittlung verstösst gegen Art. 5 DSGVO

Die Person hat beim Thüringer Landesbeauftragten für Datenschutz Beschwerde eingereicht. Dieser war der Auffassung, dass die Erteilung der Auskunft mittels unverschlüsselter E-Mail gegen Art. 5 Abs. 1 lit. f DSGVO verstößt. Danach müssen personenbezogene Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)“. Der Landesbeauftragte für Datenschutz sah einen Verstoss gegen die DSGVO, da auf den Antrag des Klägers ein Datenblatt mit personenbezogenen Daten im PDF-Format als Anhang einer unverschlüsselten E-Mail übersandt wurde.

Einen solchen Verstoss bejahte auch das Arbeitsgericht Suhl. Ob auch die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung Verstösse gegen Regelungen der DSGVO darstellen, liess das Gericht dahinstehen. Die Person, welche Schadenersatz nach Art. 82 DSGVO verlangte, habe nämlich keinen Schaden dargelegt, weshalb eine Entscheidung darüber nicht erforderlich sei.

Der AI-Act der EU: Was bedeutet das für die Schweiz?

Die enormen Auswirkungen, die KI schon jetzt auf verschiedene Bereiche unseres Lebens hat, hat die Europäische Union (EU) dazu bewogen, einen gesetzlichen Rahmen zu implementieren, der Künstliche Intelligenz stärker regulieren soll. In Brüssel ist man sich einig, dass es unerlässlich ist, eine klare und umfassende Strategie zu entwickeln, um die Potenziale von KI zu nutzen, während man gleichzeitig sicherstellt, dass sich jede Nutzung von KI im Einklang mit den ethischen Prinzipien und Grundwerten der EU befindet.

Im Dezember 2023 wurde der AI-Act verabschiedet. Jetzt folgt eine zweijährige Umsetzungsphase, bevor das Gesetz Anwendung findet. Innerhalb dieser Übergangsphase sieht die EU-Kommission eine freiwillige Einhaltung des AI-Acts von Seiten der Unternehmen vor. Final und rechtlich bindend sollen die neuen Regeln frühestens im Jahr 2026 werden.

Der gebilligte AI-Act markiert einen bedeutenden Meilenstein in der weltweiten Regulierung von Künstlicher Intelligenz. Europa ist damit der erste Kontinent, der die Nutzung von KI eindeutig reglementiert. Die vorgeschlagene KI-Regulierung zielt darauf ab, sicherzustellen, dass Europäer:innen dem vertrauen können, was KI produziert, und garantiert, dass KI-Systeme uns Menschen keinen Schaden zufügen. Die bestehenden Grundrechte und Werte der Union sollen gewahrt und die effektive Durchsetzung des geltenden Rechts gestärkt werden.

Doch was bedeutet das für die Schweiz und das DSG?
Insgesamt ist es wahrscheinlich, dass der AI-Act der EU auch die Schweizer Legislative dazu anregt, ihre eigenen Vorschriften und Strategien im Bereich der KI zu überdenken und anzupassen, um so die Zusammenarbeit mit EU-Mitgliedstaaten zu erleichtern. Die genauen Auswirkungen hängen jedoch von den konkreten Vereinbarungen und Umsetzungsmechanismen ab, die zwischen der Schweiz und der EU ausgehandelt werden.

Ein Bereich, der betroffen sein wird, ist der Handel und die Marktregulierung. Der AI-Act führt neue Vorschriften und Standards für KI-Anwendungen ein. Wenn die Schweiz die intensiven Handelsbeziehungen mit der EU aufrechterhalten möchte und Dienstleistungen und Produkte im Bereich der KI auf dem EU-Markt absetzen will, wird sie die Anforderungen und Bestimmungen des AI-Act erfüllen müssen. Viele Schweizer Unternehmen, die KI-Technologien entwickeln oder anbieten, könnten deshalb in Zukunft von den Auswirkungen betroffen sein.

Auch die Gesetzgebung im Datenschutz wird beeinflusst. Der AI-Act legt Regeln für den Austausch von Daten fest, die für den Betrieb von KI-Systemen verwendet werden. Wenn die Schweiz Daten mit EU-Mitgliedstaaten austauschen möchte, müssen möglicherweise die Datenschutz- und Datensicherheitsanforderungen des AI-Act erfüllt werden. Dies kann Auswirkungen auf Unternehmen und Organisationen haben, die grenzüberschreitend mit Daten arbeiten.

Der AI-Act schafft ausserdem einheitliche Standards für den Einsatz von KI-Technologien. Die Schweiz könnte sich an diesen Bemühungen beteiligen und von der gemeinsamen Entwicklung von Standards und Best Practices profitieren. Dies würde die Interoperabilität von KI-Systemen verbessern und den Austausch von Fachwissen und Erfahrungen fördern. Darüber hinaus wird dem AI-Act wohl generell eine internationale Tragweite zukommen. Er setzt bisher einzigartige Massstäbe für den Umgang mit KI und kann als Vorbild für andere Länder und Regionen dienen. Die Schweiz, die im Hinblick auf Forschung und Entwicklung an KI-Systemen sehr fortgeschritten ist, kann von diesem globalen Trend profitieren und ihre Position als Innovationsstandort stärken.

Die sozialdemokratische Fraktion der Schweiz hatte Mitte des Jahres den Bundesrat schon aufgefordert, die Grundlagen zu schaffen für ein Gesetz, welches im Wesentlichen dem AI-Act gleicht bzw. bestmöglich mit diesem Gesetz kompatibel ist. In einer Stellungnahme liess der Bundesrat verlauten, dass er die Entwicklung des AI-Acts genau beobachte und grundsätzlich eine ähnliche Digitalisierungspolitik verfolge wie die EU. Damit ist auch gemeint, dass ein KI-Gesetz das Ziel ist, welches bestmöglich mit den europäischen Gesetzen harmoniert. Dennoch müsse man zunächst das Endresultat in der EU abwarten. Da dies nun vorhanden ist kann man davon ausgehen, dass bald auch der Schweizer Bundesrat aktiv wird.

Abschliessend lässt sich sagen, dass der AI-Act der EU die Schweiz in verschiedenen Bereichen beeinflussen wird, insbesondere in Bezug auf Handel, Datenaustausch, Zusammenarbeit und internationale Standards. Die genauen Auswirkungen werden jedoch von der Umsetzung und Interpretation des AI-Act von Seiten der Schweizer Politik abhängen, und es wird wichtig sein, die Entwicklungen in diesem Bereich aufmerksam zu verfolgen.

Quelle: Handelskammer Deutschland-Schweiz / Beat Singenberger

Wie sich kleinere und mittlere Unternehmen vor Datenschutz-Pannen einfach schützen können

Kleine und mittlere Unternehmen haben in der Regel für Datenschutz nur sehr begrenzte Ressourcen und sind auch nicht in der Lage, eigene Fachkräfte für dieses Thema einzusetzen. Doch wie kann ich mich trotzdem vor teuren Rechtstreitigkeiten und Datenschutzverstössen DSG und DSGVO absichern?

Falsch installierte Videokameras in Gasträumen, unverschlüsselte Kundendatenbanken oder auch unzureichend entsorgte Adressdaten? Verstöße gegen die Datenschutzverordnung (DSG und DSGVO) in Unternehmen geschehen schnell.

DSG-Verstösse und Abmahnungen

Nahezu alle Unternehmen sind verpflichtet, die DSG einzuhalten. Viele Unternehmen finden sie allerdings kompliziert und schwer verständlich. Das kann zu teuren und unschönen Verstössen führen und Grund für Abmahnungen sein. Umfragen zeigen zudem, dass viele die DSG und DSGVO noch gar nicht vollständig umgesetzt haben. Auch hier bestehen also noch Sicherheitslücken. Doch selbst für weitestgehend datenschutzkonforme Unternehmen bleibt aufgrund von Rechtsunsicherheiten ein Restrisiko.

Hohe Kosten möglich

DSG-Verstösse können gemäss Strafbestimmungen teuer werden. Hohe Bussgelder sind für kleine Unternehmen zwar eher selten, dennoch können bei einem Rechtsstreit Kosten für Anwalt, Gericht, Gutachten oder auch Schadenersatz und Regressforderungen existenzbedrohend werden.

Absicherung für kleine Unternehmen

Wir zeigen Ihnen auf, welche Möglichkeiten es gibt, sich abzusichern und die notwenigen Vorkehrungen zu treffen.

Schadenersatzforderung eines Bewerbers

Viel Zeit bleibt einem Unternehmen nicht, um auf Datenschutzanfragen zu reagieren. Will ein ehemaliger Bewerber wissen, ob seine Daten gespeichert wurden, muss dies „unverzüglich“ beantwortet werden.

Ein Datenauskunftsverlangen an einen Arbeitgeber, muss nach DSG und DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats beantwortet werden. Dass dies keineswegs bedeutet, der Arbeitgeber habe in jedem Fall einen Monat Zeit, entschied das Arbeitsgericht Duisburg.

Ein Dienstleister hatte per Stellenanzeige einen Sachbearbeiter für das Forderungsmanagement gesucht. Ein Bewerber reichte seine persönlichen Unterlagen ein, erhielt jedoch eine Absage. Mehr als 6 Jahre später, meldete sich der Bewerber erneut per E-Mail bei dem Dienstleistungsunternehmen und begehrte Auskunft nach der DSGVO darüber, ob und welche Daten zu seiner Person gespeichert seien. Er setzte dem Unternehmen für die Beantwortung eine Frist von 30 Tagen.

Das Unternehmen nahm bis einen Tag nach Ablauf der vom Bewerber gesetzten Frist keine Stellung. Der Bewerber meldete sich daher nach Ablauf seine Frist von 30 Tagen erneut per E-Mail bei dem Unternehmen und erinnerte an sein Anliegen. Das Unternehmen erteilte daraufhin dem ehemaligen Bewerber eine Negativauskunft mit dem Inhalt, dass keine Daten des Bewerbers bei ihm gespeichert seien.

Anschliessend bat der ehemalige Bewerber nun das Unternehmen um Mitteilung, aus welchem Grund es diese Auskunft nicht zuvor erteilt habe. Das Unternehmen antwortete, es habe die Auskunft mit Blick auf Artikel 12 DSGVO fristgerecht erteilt. Das sah der ehemalige Bewerber anders. Seiner Meinung nach hatte das Unternehmen durch verspätete Auskunft Art. 12 DSGVO verletzt. Er forderte das Unternehmen zur Zahlung einer Geldentschädigung in Höhe von Euro 1’000 auf. Diesem Verlangen entsprach das Unternehmen nicht, sodass der ehemalige Bewerber Klage vor dem Arbeitsgericht erhob und die Zahlung einer Entschädigung in Höhe von Euro 2’000 wegen einer behaupteten Verletzung der DSGVO durch das Unternehmen verlangte.

Das Arbeitsgericht sprach dem ehemaligen Bewerber einen Schadensersatzanspruch in Höhe von 750 Euro zu. Nach Art 12 Abs. 3 DSGVO müsse der Verantwortliche der betroffenen Person Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung stellen. Diese Verpflichtung habe das Unternehmen die zu spät gegebene Antwort nicht erfüllt.

Wie lösche ich Daten nach DSG oder DSGVO?

Unternehmen sind nach dem DSG angehalten, personenbezogene Daten von Kunden, aber auch von Mitarbeitern sicher zu löschen. Dazu ist ein Konzept notwendig, nach dem die Löschungen konform zum Datenschutzgesetz durchgeführt werden können. Da hierbei oft verschiedene Anwendungen und Datenbanken beteiligt sind, sollte ein Konzept vorhanden sein, das die einheitlichen und DSGVO-konformen Vorgänge festlegt.

Ein wesentlicher Bestandteil der DSGVO ist das Prinzip der Datenminimierung, wonach Daten nur so lange gespeichert werden sollten, wie es für den beabsichtigten Zweck notwendig ist. Daraus ergibt sich die Notwendigkeit eines Löschkonzepts.

Ein wichtiger Grundsatz ist die Speicherbegrenzung. Das bedeutet, dass Daten nur so lange gespeichert werden dürfen, wie sie benötigt werden. Ein gut durchdachtes Löschkonzept reduziert das Risiko von Datenschutzverletzungen. Je weniger Daten vorhanden sind, desto geringer ist die Gefahr des Missbrauchs durch Unbefugte.

Ein klares Löschkonzept schafft Vertrauen. Kunden und Nutzer erkennen, dass ihre Daten nicht unnötig gespeichert werden. Das Löschen überflüssiger Daten erhöht die Effizienz von Datenbanken und Speichersystemen und senkt damit die Kosten. Das Konzept muss festlegen, welche Daten zu welchem Zweck und wie lange gespeichert werden.

Ein Löschkonzept stellt nicht nur eine rechtliche Anforderung dar, sondern zeigt auch eine verantwortungsvolle Datenverwaltungspraxis. Es schützt die Privatsphäre der Betroffenen und trägt dazu bei, Ressourcen effizienter zu nutzen und das Risiko von Datenschutzverletzungen zu verringern.

Wir unterstützen Sie gerne dabei!

Ist Microsoft 365 datenschutzkonform?

In der Schweiz sowie in Deutschland und Frankreich steht zurzeit insbesondere Microsoft 365 in der Kritik der Datenschützer. So untersagte etwa das französische Bildungsministerium im vergangenen November den Einsatz der kostenlosen Angebote von Microsoft 365 an Schulen mit der Begründung, dass sie gegen die europäische Datenschutz-Grundverordnung (EU-DSGVO) verstossen würden.

In Deutschland kam indes die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zum Schluss, dass Microsoft 365 grundsätzlich nicht als datenschutzkonform angesehen werden könne. Microsoft hingegen sieht das anders: Die Datenschutzbehörden würden in ­ihrer Kritik keinen Betroffenenschutz mehr verfolgen, sondern den ­«Datenschutz zum dogmatischen Selbstzweck» erheben.

In der Schweiz sorgte derweil die Zürcher Kantonsregierung für Auf­sehen: Im April 2022 bewilligte der Regierungsrat Microsoft 365 für die kantonale Verwaltung. Dominika Blonski, die Datenschutzbeauftragte des Kantons Zürich, hatte den Beschluss abgesegnet – stellt jedoch klar: Trotz dieses Entscheids habe die Kantonsverwaltung keinen Freipass zur Nutzung von Microsoft 365. Sensible Daten dürften keinesfalls einem rechtswidrigen Zugriff von anderen Behörden ausgesetzt werden – und das könne die Microsoft-Cloud nicht garantieren, sagt Blonski im Interview. Generell liege das Problem darin, dass Micro­soft den Markt der Office-Produkte dominiere, sagt die Zürcher Datenschutzbeauftragte und ergänzt: «Die Schweiz hat im Rahmen der Diskussionen um die digitale Souveränität auch zu erörtern, wie solche Abhängigkeiten aufgebrochen werden können.»

KMUs sollten allerdings nicht nur auf die richtigen Einstellungen achten, sondern auch auf den Servicevertrag mit Microsoft. Ausserdem empfiehlt es sich laut Korostylev insbesondere für KMUs, eine Cloud-Exit-Strategie in der Hinterhand zu haben und zu beachten, dass Microsoft ab 2025 ausschliesslich cloudbasierte Bereitstellungsmodelle anbieten will.

Privacy Shield 2.0 – Versuch Nr. 3 mit unklarem Ausgang

Das Data Privacy Framework – oder Privacy Shield 2.0 – ist nach der Safe-Harbor-Regelung und dem Privacy Shield der dritte Anlauf für ein Datenschutzabkommen zwischen der EU und den USA. Gemäss der europäischen Datenschutzverordnung EU-DSGVO soll mit dieser neuen Regelung der Schutz personenbezogener Daten, die aus der EU in die USA übertragen werden, sichergestellt werden.

Das Abkommen wurde notwendig, da der Europäische Gerichtshof (EuGH) die Vorgängerabkommen in den sogenannten „Schrems-Urteilen“ als ungültig erklärt hatte. Die EU hat das Data Privacy Framework im Juli 2023 per Angemessenheitsbeschluss angenommen. Im Data Privacy Framework verpflichten sich die USA, das Datenschutzniveau von der EU in die USA übertragener personenbezogener Daten zu verbessern. Durch den Angemessenheitsbeschluss der EU vom 10. Juli 2023 erklärt die EU-Kommission das Datenschutzniveau der in die USA übertragenen personenbezogenen Daten für angemessen und den Vorgaben der EU-DSGVO für die Datenübertragung in ein Drittland entsprechend.

Damit soll die seit den Schrems-Urteilen herrschende Rechtsunsicherheit beendet werden. Der Angemessenheitsbeschluss dient ab dem Zeitpunkt der Annahme durch die EU-Kommission als Grundlage für die Datenübermittlung personenbezogener Daten an zertifizierte Unternehmen oder Organisationen der USA. Die Übertragung personenbezogener Daten an ein US-Unternehmen, das am DPF teilnimmt und zertifiziert ist, bedarf keiner weiteren Sicherheitsmassnahmen oder zusätzlicher Standardvertragsklauseln mehr. Ob das neue Abkommen der erwarteten rechtlichen Prüfung durch den Europäischen Gerichtshof tatsächlich standhalten wird, ist bisher noch nicht abzusehen.

Alles gut also? Naja, für den Moment gibt es damit wieder eine Rechtsgrundlage für die Datenübertragung in die USA. Aber nach unserer Einschätzung dürfte der Angemessenheitsbeschluss nicht halten. Und damit stehen wir nicht alleine.  Unternehmen müssen sich also weiterhin mit der Problematik beschäftigen, haben nur ein paar Monate gewonnen.

Aus schweizerischer Sicht stellt sich die Frage, ob sie sich – wie schon bei «Safe Harbor» und «Privacy Shield» – der Einigung zwischen der EU und den USA mit einer parallelen Lösung anschliessen kann.

Google Analytics – Geht das?

Der Einsatz von Google Analytics für die Auswertung der Zugriffe und Nutzerverhalten auf den Webseiten erfreut sich nach wie vor hoher Beliebtheit. Doch wie sieht es datenschutztechnisch aus? Kann ich dieses Analysewerkzeug weiterhin problemlos einsetzen?

Die Antwort lautet: Nein!

Nach dem Urteil des Europäischen Gerichtshofs vom Juli 2020 zur Ungültigkeit des Privacy Shield hat der von Max Schrems gegründete Datenschutzverein Europäisches Zentrum für digitale Rechte (noyb) über 100 Beschwerden eingereicht. Die ersten Entscheidungen machten bereits deutlich, dass der Einsatz von Google Analytics in der EU rechtswidrig ist.

In der Folge haben dann die Datenschutzbehörden von Österreich, Frankreich, Niederlande und Schweden den Einsatz von Google Analytics auf Websites gegen die Bestimmungen der DSGVO zu Drittlandübermittlungen als rechtswidrig erachtet.Es wird erwartet, dass ähnliche Entscheidungen der anderen Behörden folgen.

Die Behörde sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäss Art. 44 DSGVO verletzt, da mit dem Analyseprogramm von Google persönliche Nutzerinformationen an den Mutterkonzern in den USA weitergegeben werden.

Für einen datenschutzkonformen Einsatz von Google Analytics muss ich verschiedene Massnahmen ergreifen und Anpassungen vornehmen:

  • Zunächst müssen Sie einen Auftrag zur Datenverarbeitung mit der Google Inc. schliessen.
  • Passen Sie den Google-Analytics-Code ein, sodass IP-Adressen nur anonymisiert erhoben werden.
  • Die Datenschutzerklärung muss angepasst werden: Wie sich Google Analytics in Sachen Datenschutz auswirkt, muss klar dargelegt werden.
  • Binden Sie einen Opt-Out ein, mit welchem die Nutzer Ihrer Seite der Datenerhebung durch die Google Inc. widersprechen können.

Wir unterstützen Sie gerne auch bei dieser Umsetzung.

EU-Bussgelder nun mit einheitlichen Regeln

Mittlerweile ist bekannt, dass Verstösse gegen die Europäische Datenschutzgrundverordnung (DSGVO) von den Datenschutzbehörden der EU-Mitgliedsstaaten mit Bussgeldern geahndet werden: Die Strafzahlungen können bis zu 20 Millionen EUR, beziehungsweise bis zu 4 Prozent des weltweiten Jahresumsatzes betragen.

Die Festlegung der Höhe der Bussgelder ist bisher Sache der zuständigen nationalen Datenschutzbehörde. Bisher entscheidet jedes EU-Mitgliedsland selbst darüber, wie weit die „bis max. Werte“ ausgereizt werden, die die DSGVO vorsieht. Für die Bemessung der Bussgeldforderungen gibt es jetzt neue Regeln: Der Europäische Datenschutzausschuss (EDSA) hat die endgültigen Leitlinien zur Bussgeldzumessung angenommen.

In seiner Sitzung von 24.5.2023 hat das European Data Protection Board (EDPB) die Leitlinien 04/2022 zur Bussgeldzumessung nach der DSGVO nach einer öffentlichen Konsultation angenommen (Guidelines 04/2022 on the calculation of administrative fines under the GDPR).

Die Leitlinien bieten den Datenschutzaufsichtsbehörden nun einheitliche Massstäbe und harmonisierte Rahmenbedingungen zur Bestimmung von Bussgeldern. Die Harmonisierung bezieht sich allerdings nur auf die Berechnungsgrundlage der Bussgelder. Die endgültige Höhe der Bussgelder wird durch die Justierungsmöglichkeiten des Leitlinien-Modells weiterhin individuell durch die jeweilige nationale Aufsichtsbehörde festgelegt.

Die Leitlinien sehen ein aus 5 Schritten bestehendes Zumessungsverfahren vor, dass insbesondere die Art und Schwere der Verstösse sowie den Umsatz der betreffenden Unternehmen berücksichtigt:

1. Schritt: Sanktionierbare Handlungen

Die Aufsichtsbehörden prüfen, ob der vorliegende Fall sanktionierbare Handlungen beinhaltet und inwieweit diese zu Verstössen gegen die DSGVO geführt haben. Insbesondere wird dabei geprüft, ob eine oder mehrere bussgeldbewehrte Handlungen vorliegen.

2. Schritt: Ermittlung des Ausgangsbetrags

Der Ausgangsbetrag für die Bussgeldberechnung wird aus drei Faktoren ermittelt: Der Art der Verstösse (a), der Schwere des Verstosses (b) und dem Umsatz des Unternehmens (c).

Art des Verstosses (Art. 83 Abs. 4 – 6 DSGVO)

Verstösse gegen Art. 83 Abs. 4 DSGVO können mit einem Bussgeld von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seinen gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres geahndet werden. Verstösse gegen Art. 83 Abs. 5 und 6 DSGVO können mit einem Bussgeld von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Hierdurch ergeben sich die gesetzlichen Höchstbeträge, die ein Bussgeld jeweils nicht überschreiten darf.

Schwere des Verstosses

Anhand der in Art. 83 Abs. 2 DSGVO aufgelisteten Kriterien wird die Schwere des Verstosses festgestellt. Aus der Feststellung muss sich ein Schweregrad ergeben, um den Ausgangsbetrag prozentual vom gesetzlichen Höchstbetrag ermitteln zu können:

  • Geringer Schweregrad: Ausgangsbetrag liegt zwischen 0 und 10 % des gesetzlichen Höchstbetrags.
  • Mittlerer Schweregrad: Ausgangsbetrag liegt zwischen 10 und 20 % des gesetzlichen Höchstbetrags.
  • Hoher Schweregrad: Ausgangsbetrag liegt zwischen 20 und 100 % des gesetzlichen Höchstbetrags.

Der Umsatz des Unternehmens

Mit Blick auf den Umsatz eines Unternehmens werden weitere Korrekturen an dem zuvor ermittelten Ausgangsbetrag vorgenommen. Der Betrag kann auf 0,2 % bis 50 % des ermittelten Ausgangsbetrages reduziert werden.

3. Schritt: Ermittlung erschwerender oder mildernder Umstände

Die Aufsichtsbehörden ermitteln erschwerende oder mildernde Umstände, die die Höhe des in Schritt 2 festgestellten Betrags erhöhen oder senken können. Dazu gehören z. B. das Verhalten der Verantwortlichen (Kooperationsbereitschaft, Gegenmassnahmen) und ob es bereits in der Vergangenheit zu Verstössen gegen die DSGVO gekommen. Die Erhöhung oder Senkung des Betrags wird individuell durch die Aufsichtsbehörde vorgenommen.

4. Schritt: Ermittlung der Obergrenze

Der ermittelte Bussgeldbetrag wird erneut mit den gesetzlichen Höchstbeträgen der Art. 83 Abs. 4 – 6 DSGVO abgeglichen. Dabei wird auch entschieden, ob die statische (10 oder 20 Millionen EUR) oder die dynamische (2 % oder 4 % des Jahresumsatzes) Obergrenze für die Bussgeldbemessung gilt. Nach Art. 83 Abs. 4 und 5 DSGVO muss der jeweils höhere Betrag zugrunde gelegt werden.

5. Schritt: Mögliche Nachjustierungen

Im letzten Schritt der Bussgeldbemessung bewerten die Aufsichtsbehörden das ermittelte Bussgeld gemäss Art. 83 Abs. 1 DSGVO im Hinblick auf die Wirksamkeit, Verhältnismässigkeit und Abschreckung, um etwaige Nachjustierungen vornehmen zu können.

Ausbildung für mehr Datenschutz- und Sicherheitskompetenz

Mit unseren effizienten Online-Lern-Modulen im Bereich Datenschutzmanagement und Informationssicherheit erhöhen Sie die fachliche Sicherheitskompetenz im Unternehmen.

Dazu bieten wir Ihnen neben unseren kundenspezifischen Schulungen vor Ort ein webbasiertes Grundlagentraining, welches Basiswissen und die Konzepte vermittelt. Der Lerner taucht ein in eine bunte Welt des Themas und erhält auf spielerisch ansprechende Weise in Etappen das Wissen vermittelt.

Auf Wunsch können auch individuell auf Sie abgestimmte Lerninhalte aufbereitet werden, die 100% zu Ihnen und Ihren Anforderungen passt.

Unser Ziel lautet: Training soll sich nicht mehr nach Training anfühlen, sondern begeistern!