Hvad er bøderne for webstedsoperatører i tilfælde af brud på datasikkerheden?

Mario Steinberg Senest opdateret den 21. oktober 2020
3 Min.
dsgvo bussgelder
Senest opdateret den 21. oktober 2020

Den 14.10.2019 offentliggjorde Konferencen af Uafhængige Databeskyttelsestilsynsmyndigheder i Forbunds- og Delstatsstaterne (DSK) et koncept for beregning af bøder i sager mod virksomheder. Dette gør det endelig klart, hvilke bøder webstedsoperatører vil stå over for i tilfælde af dataovertrædelser. 

Grundlæggende oplysninger om DSK's bødebegreb

Det er velkendt, at op til ti millioner euro, eller to procent af verdens årlige omsætning, kan straffes for brud på GDPR. I tilfælde af mere alvorlige overtrædelser er der endda risiko for dobbelt så stor risiko. Det var imidlertid endnu ikke klart, hvor stor en bøde der kunne være i det enkelte tilfælde. Begrebet DSK ændrer nu dette og giver de tyske databeskyttelsestilsynsmyndigheder et ensartet og konkret beregningsgrundlag. Desuden er det klart hensigten, at begrebet skal have en generel forebyggende virkning på virksomhederne og gøre det klart, at der kan forventes store bøder, hvis GDPR-kravene ikke overholdes.

Da begrebet kun er en model og ikke en lov, vedrører det kun fine procedurer mod virksomheder, der er indledt af tyske databeskyttelsestilsynsmyndigheder. Den har ingen bindende virkning med hensyn til domstolenes fastsættelse af bøder.

Derudover kan konceptet til enhver tid ophæves, ændres eller udvides af DSK. Desuden er det kun en overgangsløsning, indtil Det Europæiske Databeskyttelsesråd vedtager retningslinjerne for bødefastsættelsen. Det er derfor endnu uvist, hvordan situationen med bøderne vil udvikle sig.

beregning af dsgvo-bøder

Hvordan beregnes bøden?

Begrebet DSK indeholder bestemmelser om en femtrinsprocedure til beregning af den specifikke bøde:

Trin 1:

På grundlag af selskabets samlede omsætning på verdensplan i det foregående år henføres det til en af fire størrelsesklasser (A til D), der hver er opdelt i tre undergrupper (A.I til A.III, B.I til B.III osv.) for mere specifik klassificering.

Klassificering efter årlig omsætning:

Gruppe A:op til 2 mio.
Gruppe B:2-10 millioner euro
Gruppe C:10-50 mio.
Gruppe D:over 50 mio.

Trin 2:

Den gennemsnitlige årlige omsætning i den undergruppe, som virksomheden blev placeret i, bestemmes.

Trin 3:

Den økonomiske grundværdi bestemmes. Dette er grundlaget for den yderligere fastsættelse af bøden og svarer til den gennemsnitlige årlige omsætning i den undergruppe, hvor selskabet blev klassificeret, divideret med 360 (dage) og rundet op til stedets sted.

Trin 4:

En multiplikator er afledt af alvorligheden af dataovertrædelsen. I denne forbindelse skal der på grundlag af de særlige omstændigheder i det enkelte tilfælde klassificeres graden af alvorlighed i lys, medium, vanskelig eller meget vanskelig. 

Listen over kriterier, der beskriver disse mulige omstændigheder, findes i artikel 83, stk. 2, i GDPR. Disse omfatter f.eks. overtrædelsens art og varighed, antallet af berørte personer, skadens omfang, den måde, hvorpå tilsynsmyndigheden samarbejdede, og også om overtrædelsen havde direkte økonomiske fordele. 

Desuden skelnes der mellem »formel« (artikel 83, stk. 4, i GDPR) og »materiale« (artikel 83, litra B), nr. Afhængigt af arten og alvoren af dataovertrædelsen er faktoren for formelle overtrædelser mellem 1 og 6 for væsentlige overtrædelser mellem 1 og 12; i tilfælde af meget alvorlige overtrædelser kan faktoren være endnu højere.

Trin 5:

Basisværdien justeres endeligt på grundlag af alle andre omstændigheder for og i forhold til den pågældende. Dette omfatter navnlig gerningsmandsrelaterede omstændigheder og andre omstændigheder, såsom en lang sagsbehandlingstid eller truslen om selskabets insolvens.

GDPR bøde - Et beregningseksempel 

I sidste ende er den beskrevne femtrinsprocedure ikke så kompliceret, som den lyder i starten. Her er et konkret eksempel:

Antag, at en selvstændig havde en omsætning på 80.000 euro året før. Dette placerer det i den (nederste) undergruppe A.I (årlig omsætning fra € 0 til € 700.000; niveau 1), er den gennemsnitlige årlige omsætning derfor 350 000 EUR (niveau 2), og den økonomiske basisværdi er 972 EUR (niveau 3).

Lad os også antage, at dette er en falsk privatlivspolitik på den selvstændiges hjemmeside. Artikel 83, stk. 5, i .b) i GDPR er derfor tilsidesat. Da overtrædelsens grovhed er »let«, mener databeskyttelsesmyndigheden, at faktoren kan være »kun« 2 (niveau 4); Efter databeskyttelsesmyndighedens opfattelse var en justering ikke hensigtsmæssig (niveau 5).

Det vil beløbe sig til 1.944 euro.

Konklusion

Med DSK's tilgang til bøder gøres det nu klart, at selv relativt små dataovertrædelser vil resultere i relevante bøder. Derfor bør alle virksomheder hurtigst muligt kontrollere eller få det kontrolleret, om de overholder alle databeskyttelseskrav korrekt, f.eks. et korrekt cookiebanner. Det skyldes, at databeskyttelsesmyndighederne ikke handler tilfældigt, men frem for alt når der indberettes databeskyttelsesovertrædelser til dem. Og disse rapporter kommer ofte i praksis fra utilfredse kunder eller konkurrenter, der ønsker at gøre en vis skade på deres konkurrenter på denne måde.

Lignende artikler

Kommentarer til denne artikel

Skriv svar på en

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *.