Welke boetes worden aan website-eigenaren opgelegd voor inbreuk op de gegevensbescherming?

Mario Steinberg Laatst bijgewerkt op 21.10.2020
3 Min.
dsgvo-boetes
Laatst bijgewerkt op 21.10.2020

Op 14.10.2019 heeft de Conferentie van onafhankelijke toezichthouders voor gegevensbescherming van de Bondsregering en de deelstaten (DSK) een Concept voor het vaststellen van boetes in een procedure tegen bedrijven. Het is nu eindelijk duidelijk welke boetes websitebeheerders mogen verwachten in het geval van inbreuken op de gegevensbescherming. 

Basisinformatie over het fraaie concept van de DSK

Het is algemeen bekend dat overtredingen van de AVGtot tien miljoen euro of twee procent van de wereldwijd behaalde jaaromzet als sanctie kunnen worden opgelegd. In het geval van ernstiger inbreuken kan de boete zelfs verdubbelen. Het was echter tot nu toe onduidelijk wat het bedrag van een boete zou kunnen zijn in een specifiek individueel geval. Het concept van DSK verandert dit nu en biedt de Duitse toezichthoudende instanties voor gegevensbescherming een uniforme en concrete basis voor de berekening. Bovendien is het concept duidelijk bedoeld om een algemeen preventief effect op bedrijven te hebben en om duidelijk te maken dat hoge boetes te verwachten zijn als AVGniet aan de eisen van de toezichthoudende autoriteit voor gegevensbescherming wordt voldaan.

Aangezien het concept slechts een model is en geen wet, gaat het alleen om boeteprocedures tegen bedrijven die door de Duitse gegevensbeschermingsautoriteiten zijn ingeleid. Het heeft geen bindend effect op de vaststelling van boetes door de rechtbanken.

Bovendien kan het concept te allen tijde door DSK worden geannuleerd, gewijzigd of uitgebreid. Bovendien is het slechts een overgangsoplossing in afwachting van de definitieve goedkeuring van de richtsnoeren inzake de methode voor de vaststelling van geldboetes door het Europees Comité voor gegevensbescherming. Het is dus nog maar de vraag hoe de situatie zich ontwikkelt met de boetes.

dsgvo-boeteberekening

Hoe wordt de boete berekend?

Het concept van DSK voorziet in een vijfstappenprocedure voor de berekening van de specifieke boete:

Stap 1:

De onderneming wordt ingedeeld in één van de vier grootteklassen (A tot D) op basis van de totale wereldwijde omzet in het voorgaande jaar. Voor een meer concrete indeling wordt elke grootteklasse onderverdeeld in drie subgroepen (A.I tot A.III, B.I tot B.III, enz.).

Indeling naar jaaromzet:

Groep A: tot 2 miljoen EUR
Groep B: 2 tot 10 miljoen EUR
Groep C: 10 tot 50 miljoen EUR
Groep D: meer dan 50 miljoen EUR

Stap 2:

De gemiddelde jaaromzet van de subgroep waarin de onderneming is ondergebracht wordt bepaald.

Stap drie:

De economische basiswaarde wordt bepaald. Dit is de basis voor de verdere bepaling van de boete en komt overeen met de gemiddelde jaaromzet van de subgroep waarin de onderneming is geplaatst, gedeeld door 360 (dagen) en afgerond op de plaats vóór de komma.

Stap vier:

Een multiplicator wordt afgeleid uit de ernst van de schending van de gegevensbescherming. In dit verband wordt de mate van ernst op basis van de concrete feitelijke omstandigheden van het individuele geval geclassificeerd als licht, matig, ernstig of zeer ernstig

De lijst van criteria die deze mogelijke omstandigheden beschrijven, is te vinden in artikel 83, lid 2AVG. Daarbij gaat het bijvoorbeeld om de aard en de duur van de overtreding, het aantal getroffenen, de omvang van de schade, de wijze van samenwerking met de toezichthouder en ook of er als gevolg van de overtreding direct financieel voordeel is behaald. 

Er wordt ook een onderscheid gemaakt tussen "formele" (artikel 83, lid 4AVG) en "materiële" (artikel 83, leden 5 en 6AVG) inbreuken. Afhankelijk van het type en de ernst van de inbreuk op de gegevensbescherming ligt de factor voor formele inbreuken tussen 1 en 6, voor materiële inbreuken tussen 1 en 12; voor zeer ernstige inbreuken kan de factor in elk geval zelfs hoger liggen.

Stap vijf:

De basiswaarde wordt uiteindelijk aangepast op basis van alle andere omstandigheden die voor en tegen de betrokkene spreken. Daarbij gaat het met name om omstandigheden die verband houden met de dader en andere omstandigheden, zoals een lange procedureperiode of de dreiging van insolventie van de onderneming.

AVG-Fijn - Een rekenvoorbeeld 

Uiteindelijk is de hierboven beschreven procedure in vijf stappen niet zo ingewikkeld als het in eerste instantie klinkt. Hier is een concreet voorbeeld:

Laten we ervan uitgaan dat een zelfstandige in het voorgaande jaar een omzet van 80.000 € had. Het valt dus in de (laagste) subgroep A.I. (jaaromzet van € 0 tot € 700.000; niveau 1), de gemiddelde jaaromzet is dus € 350.000 (niveau 2) en de economische basiswaarde is € 972 (niveau 3).

Laten we er verder van uitgaan dat het een valse privacyverklaring is op de website van de zelfstandige. Dit is een schending van artikel 83, lid 5, onder b)AVG. Aangezien de ernst van de inbreuk als "gering" moet worden aangemerkt, is de toezichthoudende autoriteit voor gegevensbescherming van mening dat de factor "slechts" 2 kan zijn (niveau 4); naar het oordeel van de toezichthoudende autoriteit voor gegevensbescherming is een aanpassing niet passend (niveau 5).

De boete zou dus € 1.944,- bedragen.

Conclusie

Het boeteconcept van de DSK maakt nu duidelijk dat zelfs relatief kleine overtredingen van de gegevensbescherming tot relevante boetes zullen leiden. Daarom moeten alle bedrijven zo snel mogelijk controleren of ze voldoen aan alle eisen op het gebied van gegevensbescherming, zoals een juiste cookiebanner...in overeenstemming met de voorschriften. De reden hiervoor is dat de gegevensbeschermingsautoriteiten niet toevallig handelen, maar vooral wanneer er inbreuken op de gegevensbescherming aan hen worden gemeld. En in de praktijk komen deze meldingen vaak van ontevreden klanten of concurrenten die hun concurrenten op deze manier willen schaden.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een opmerking

Je e-mail adres wordt niet gepubliceerd. Verplichte velden zijn met * gemarkeerd.