Vilka är böterna för webbplatsoperatörer vid dataintrång?

Mario Steinberg Senast uppdaterad den 21 oktober 2020
3 Min.
dsgvo bussgelder
Senast uppdaterad den 21 oktober 2020

Den 14 januari 2019 offentliggjorde konferensen för de oberoende dataskyddstillsynsrna i de federala och statliga staterna (DSK) ett koncept för beräkning av böter i förfaranden mot företag. Detta klargör slutligen vilka böter webbplatsoperatörer kommer att möta i händelse av dataintrång. 

Grundläggande information om DSK:s bötesbegrepp

Det är välkänt att det i händelse av överträdelser av PUL upp till tio miljoner euro, eller två procent av världens årsomsättning, kan bötfällas. Vid allvarligare överträdelser finns det till och med en risk för att risken fördubblas. Det var dock ännu inte klart hur mycket böter som kunde vara i det enskilda fallet. Begreppet DSK ändrar nu detta och ger de tyska tillsynsmyndigheterna för dataskydd en enhetlig och konkret beräkningsgrund. Dessutom är begreppet tydligt avsett att ha en allmän förebyggande effekt på företagen och att klargöra att stora böter kan förväntas om kraven i PUL inte följas.

Eftersom begreppet endast är en modell och inte en lag gäller det endast fina förfaranden mot företag som initierats av tyska tillsynsmyndigheter för dataskydd. Det har ingen bindande verkan när det gäller domstolarnas fastställande av böter.

Dessutom kan konceptet när som helst upphävas, ändras eller utvidgas av DSK. Dessutom är det bara en övergångslösning tills Europeiska dataskyddsnämnden antar riktlinjerna för metoden för att fastställa böter. Det återstår alltså att se hur situationen med böterna kommer att utvecklas.

dsgvo böter beräkning

Hur beräknas böterna?

Begreppet DSK föreskriver ett förfarande i fem steg för beräkning av de specifika böterna:

Steg 1:

Baserat på dess totala globala omsättning föregående år tilldelas företaget en av fyra storleksklasser (A till D), var och en uppdelad i tre undergrupper (A.I till A.III, B.I till B.III, etc.) för mer specifik klassificering.

Klassificering efter årsomsättning:

Grupp A:upp till 2 miljoner euro
Grupp B:2–10 miljoner euro
Grupp C:10–50 miljoner euro
Grupp D:mer än 50 miljoner euro

Steg 2:

Den genomsnittliga årsomsättningen för den undergrupp där företaget placerades fastställs.

Steg 3:

Det grundläggande ekonomiska värdet bestäms. Detta är grunden för det fortsatta fastställandet av böterna och motsvarar den genomsnittliga årsomsättningen för den undergrupp där företaget klassificerades, dividerat med 360 (dagar) och avrundat upp till platsens plats.

Steg 4:

En multiplikator härleds från dataöverträdelsens allvarlighetsgrad. På grundval av de särskilda omständigheterna i det enskilda fallet är det i detta avseende en klassificering av allvarlighetsgraden i ljus, medium, svår eller mycket svår. 

Förteckningen över kriterier som beskriver dessa möjliga omständigheter finns i artikel 83.2 PUL Att hitta. Dessa omfattar till exempel överträdelsens art och varaktighet, antalet berörda personer, skadans omfattning, hur tillsynsmyndigheten samarbetade och även huruvida överträdelsen hade några direkta ekonomiska fördelar. 

Mellan "formell" (artikel 83.4) PUL ) och "material" (artiklarna 83 ABs. 5 och 6 PUL ) olika överträdelser. Beroende på uppgifternas art och allvar är faktorn för formella överträdelser mellan 1 och 6 år för väsentliga överträdelser mellan 1 och 12 år. Vid mycket allvarliga överträdelser kan faktorn vara ännu högre.

Steg 5:

Grundvärdet skall slutligen justeras på grundval av alla andra omständigheter för och mot den berörda personen. Detta omfattar särskilt förarrelaterade omständigheter och andra omständigheter, såsom en lång handläggningstid eller hot om insolvens för företaget.

PUL -Straff - Ett räkneexempel 

I slutändan är det femstegsförfarande som beskrivs inte så komplicerat som det låter till en början. Här är ett konkret exempel:

Anta att en egenföretagare omsatte 80 000 euro året innan. Detta placerar den i den (nedre) undergruppen A.I (årlig omsättning från 0 euro till 700 000 euro; nivå 1) är den genomsnittliga årsomsättningen därför 350 000 euro (nivå 2) och det grundläggande ekonomiska värdet är 972 euro (nivå 3).

Låt oss också anta att detta är en falsk integritetspolicy på egenföretagarens webbplats. Detta utgör en överträdelse av artikel 83.5 i .b) PUL Innan. Eftersom överträdelsens allvar är "enkelt" anser dataskyddsmyndigheten att faktorn kan vara "endast" 2 (nivå 4). Dataskyddsmyndigheten anser att en justering inte var lämplig (nivå 5).

Detta skulle uppgå till 1 944 euro.

Slutsats

Med DSK:s syn på böter står det nu klart att även relativt små dataintrång kommer att leda till relevanta böter. Därför bör alla företag kontrollera eller få det kontrollerat så snart som möjligt om de uppfyller alla dataskyddskrav, till exempel en korrekt cookie-banner. Detta beror på att dataskyddsmyndigheterna inte agerar av en slump, men framför allt när dataskyddsöverträdelser rapporteras till dem. Och dessa rapporter kommer ofta i praktiken från missnöjda kunder eller konkurrenter som vill skada sina konkurrenter på detta sätt.

Liknande artiklar

Kommentarer om den här artikeln

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.