Vilka är böterna för webbplatsoperatörer i händelse av dataintrång?

Mario Steinberg Senast uppdaterad den 21 oktober 2020
3 Min.
dsgvo bussgelder
Senast uppdaterad den 21 oktober 2020

Den 14.10.2019 offentliggjorde konferensen för de oberoende dataskyddstillsynsledarna i de federala och statliga staterna (DSK) en Koncept för beräkning av böter i förfaranden mot företag. Detta gör slutligen det klart vilka böter webbplats operatörer kommer att ställas inför i händelse av dataintrång. 

Grundläggande information om DSK:s botegrepp

Det är väl känt att i händelse av överträdelser av PUL upp till tio miljoner euro, eller två procent av världens årliga omsättning, kan bötfällas. Vid allvarligare överträdelser finns det till och med en risk för att risken fördubblas. Det var dock ännu inte klart hur mycket böter som kunde vara i det enskilda fallet. Konceptet med DSK förändrar nu detta och ger de tyska tillsynsmyndigheterna för dataskydd en enhetlig och konkret beräkningsgrund. Dessutom är begreppet uppenbart avsett att ha en allmän förebyggande effekt på företagen och att klargöra att stora böter kan förväntas om kraven i PUL inte följas.

Eftersom begreppet endast är en modell och inte en lag, handlar det endast om böter mot företag som initierats av tyska tillsynsmyndigheter för dataskydd. Den har ingen bindande verkan när det gäller domstolarnas fastställande av böter.

Dessutom kan konceptet upphävas, ändras eller utvidgas av DSK när som helst. Dessutom är det bara en övergångslösning tills Europeiska dataskyddsstyrelsen antar riktlinjerna för metoden för att fastställa böter. Det återstår alltså att se hur situationen med böterna kommer att utvecklas.

dsgvo böter beräkning

Hur beräknas bötesbeloppet?

I DSK-begreppet föreskrivs ett förfarande i fem steg för beräkning av de särskilda böterna:

Steg 1:

Baserat på den totala globala omsättningen för föregående år tilldelas företaget en av fyra storleksklasser (A till D), var och en uppdelad i tre undergrupper (A.I-A.III, B.I-B.III osv.) för mer specifik klassificering.

Klassificering efter årsomsättning:

Grupp A:upp till 2 miljoner euro
Grupp B:2-10 miljoner euro
Grupp C:10-50 miljoner euro
Grupp D:mer än 50 miljoner euro

Steg 2:

Den genomsnittliga årsomsättningen för den undergrupp där företaget placerades fastställs.

Steg 3:

Det grundläggande ekonomiska värdet bestäms. Detta är grunden för det fortsatta fastställandet av böterna och motsvarar den genomsnittliga årsomsättningen för den undergrupp där företaget klassificerades, dividerat med 360 (dagar) och avrundades uppåt till platsen för den plats.

Steg 4:

En multiplikator härleds från allvarlighetsgraden för dataintrånget. På grundval av de särskilda omständigheterna i det enskilda fallet ska i detta avseende en klassificering av graden av allvarlighetsgrad i ljus, medel, svår eller mycket svår. 

Förteckningen över kriterier som beskriver dessa möjliga omständigheter åter anges i artikel 83.2. PUL Att hitta. Dessa omfattar till exempel överträdelsens art och varaktighet, antalet berörda personer, skadans omfattning, det sätt på vilket tillsynsmyndigheten samarbetade och även om överträdelsen hade några direkta ekonomiska fördelar. 

Mellan "formella" (artikel 83.4) PUL ) och "material" (artiklarna 83 ABs. 5 och 6 PUL ) olika överträdelser. Beroende på uppgiftsbrottets art och allvar är faktorn för formella överträdelser mellan 1 och 6, för väsentliga överträdelser mellan 1 och 12. Vid mycket allvarliga överträdelser kan faktorn vara ännu högre.

Steg 5:

Basvärdet skall slutligen justeras på grundval av alla andra omständigheter för och mot den berörda personen. Detta omfattar särskilt omständigheter som rör förövare och andra omständigheter, såsom en lång handläggningstid eller hot om insolvens för företaget.

PUL -Straff - Ett beräkningsexempel 

I slutändan är det femstegsförfarande som beskrivs inte så komplicerat som det låter i början. Här är ett konkret exempel:

Anta att en egenföretagare omsatte 80 000 euro året innan. Detta placerar det i (botten) undergruppen A.I (årlig omsättning från € 0 till € 700.000; nivå 1) är den genomsnittliga årsomsättningen därför 350 000 euro (nivå 2) och det grundläggande ekonomiska värdet 972 euro (nivå 3).

Låt oss också anta att detta är en falsk sekretesspolicy på egenföretagarens webbplats. Detta utgör ett brott mot artikel 83.5 i fördraget. b) I artikel 2.1 skall följande PUL Innan. Eftersom överträdelsens allvar är "lätt" anser dataskyddsmyndigheten att faktorn "endast" får vara "endast" 2 (nivå 4). Dataskyddsmyndigheten anser att en justering inte var lämplig (nivå 5).

Detta skulle uppgå till 1 944 euro.

Slutsats

Med DSK:s inställning till böter klargörs nu att även relativt små dataintrång kommer att leda till relevanta böter. Därför bör alla företag så snart som möjligt kontrollera om de har genomfört alla krav på dataskydd, t.ex. korrekt cookie banner, korrekt följa. Detta beror på att dataskyddsmyndigheterna inte agerar av en slump, utan framför allt när överträdelser av uppgiftsskyddet rapporteras till dem. Och dessa rapporter kommer ofta i praktiken från missnöjda kunder eller konkurrenter som vill göra en del skada på sina konkurrenter på detta sätt.

Liknande artiklar

Kommentarer om den här artikeln

Skriv en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är * Markerade.