Was ist Datenschutz?: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
 
(15 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 41: Zeile 41:
  
 
=== verarbeitet werden, ===
 
=== verarbeitet werden, ===
<pre>Art. 4 Nr. 2 EU-DSGVO</pre>
+
<pre>Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG</pre>
 
* erhoben (z. B. Daten werden von Betroffenen erfragt)
 
* erhoben (z. B. Daten werden von Betroffenen erfragt)
 
* erfasst (z. B. Daten werden gespeichert)
 
* erfasst (z. B. Daten werden gespeichert)
Zeile 69: Zeile 69:
  
 
=== oder ihre Auftragsverarbeiter ===
 
=== oder ihre Auftragsverarbeiter ===
<pre>Art. 28 EU-DSGVO</pre>
+
<pre>Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG</pre>
 
* auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
 
* auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
 
* Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
 
* Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
Zeile 86: Zeile 86:
  
 
=== dies aufgrund einer Rechtsgrundlage ===
 
=== dies aufgrund einer Rechtsgrundlage ===
<pre>Art. 5 EU-DSGVO</pre>
+
<pre>Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG</pre>
 
* Rechtsgrundlagen sind
 
* Rechtsgrundlagen sind
 
** Interessen
 
** Interessen
Zeile 100: Zeile 100:
  
 
=== oder einer informierten Einwilligung der Betroffenen ===
 
=== oder einer informierten Einwilligung der Betroffenen ===
<pre>Art. 6 u. 7 EU-DSGVO</pre>
+
<pre>Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG</pre>
 
* Einwilligung ist immer möglich und immer gültig
 
* Einwilligung ist immer möglich und immer gültig
 
* Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
 
* Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
Zeile 131: Zeile 131:
  
 
=== unter Wahrung der Rechte der Betroffenen, ===
 
=== unter Wahrung der Rechte der Betroffenen, ===
<pre>Art. 16 - 19 EU-DSGVO</pre>
+
<pre>Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG</pre>
 
* konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
 
* konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
 
* destruktive Rechte (Widerspruch, Einschränkung, Löschung)
 
* destruktive Rechte (Widerspruch, Einschränkung, Löschung)
 
* deskriptive Rechte (Auskunft, Mitteilungen)
 
* deskriptive Rechte (Auskunft, Mitteilungen)
 +
* Eventuell müssen Datenschutzbeauftragte benannt werden
 +
* Deren Kontaktdaten müssen angegeben werden, der Name jedoch nicht.
  
 
=== zweckgebunden, ===
 
=== zweckgebunden, ===
Zeile 155: Zeile 157:
  
 
=== transparent, ===
 
=== transparent, ===
<pre>Art. 13 u. 14 EU-DSGVO</pre>
+
<pre>Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG</pre>
 
* Bei Erfassungen und Empfang muss eine '''Datenschutzerklärung''' an die Betroffenen abgegeben werden.
 
* Bei Erfassungen und Empfang muss eine '''Datenschutzerklärung''' an die Betroffenen abgegeben werden.
 
* Betroffene haben ein Recht auf Auskunft
 
* Betroffene haben ein Recht auf Auskunft
Zeile 186: Zeile 188:
  
 
=== und das alles nachweisen können ===
 
=== und das alles nachweisen können ===
<pre>Art. 30 EU-DSGVO</pre>
+
<pre>Art. 30 EU-DSGVO, § 70 BDSG</pre>
 
* Verantwortliche und Auftragsverarbeiter müssen ein '''Verarbeitungsverzeichnis''' schriftlich führen (Art. 30 EU-DSGVO).
 
* Verantwortliche und Auftragsverarbeiter müssen ein '''Verarbeitungsverzeichnis''' schriftlich führen (Art. 30 EU-DSGVO).
 
** wenn es sich um Behörden handelt
 
** wenn es sich um Behörden handelt
Zeile 208: Zeile 210:
  
 
=== und möglicherweise Folgen abschätzen ===
 
=== und möglicherweise Folgen abschätzen ===
 +
<pre>Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG</pre>
 
* Eine '''Datenschutzfolgenabschätzung''' muss von Verantwortlichen erstellt werden, wenn
 
* Eine '''Datenschutzfolgenabschätzung''' muss von Verantwortlichen erstellt werden, wenn
 
** '''neue Technologien''' verwendet werden (Data Mining, Profiling, KI)
 
** '''neue Technologien''' verwendet werden (Data Mining, Profiling, KI)
Zeile 226: Zeile 229:
  
 
=== weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, ===
 
=== weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen, ===
 +
<pre>Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG</pre>
 
* Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
 
* Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
 
* Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
 
* Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
Zeile 243: Zeile 247:
 
** die sie nach Prüfung auf Einstellung
 
** die sie nach Prüfung auf Einstellung
 
** nicht ohne Zustimmung der erlassenden Datenschutzbehörde
 
** nicht ohne Zustimmung der erlassenden Datenschutzbehörde
** an das Strafgericht übersandt.
+
** an das Strafgericht übersendet.
  
 
=== und eventuell eine Strafe verhängt ===
 
=== und eventuell eine Strafe verhängt ===
 
* Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
 
* Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
 
* Bußgelder werden gegen jeden Verantwortlichen verhängt.
 
* Bußgelder werden gegen jeden Verantwortlichen verhängt.
* Mitarbeiter können allerdings auch verantwortlich sein (Vorsatz, Fahrlässigkeit).
+
* Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit).
* Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landgericht.
+
* Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
 
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
 
* Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.
  
 
=== oder Schadensersatz verlangt werden kann. ===
 
=== oder Schadensersatz verlangt werden kann. ===
 +
* Voraussetzung ist, dass wirklich ein Schaden entstanden ist.
 +
* Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht.
 
* Schmerzensgeld ist auch möglich.
 
* Schmerzensgeld ist auch möglich.

Aktuelle Version vom 9. September 2024, 08:55 Uhr

Vortrag.jpeg

Wenn im räumlichen Anwendungsbereich der EU-DSGVO

Art. 3 EU-DSGVO
  • Die Verarbeitung findet innerhalb der EU statt
  • oder in Norwegen, Island oder Liechtenstein ("NIL-Staaten")
  • oder die Verantwortlichen unterliegen EU-Recht
  • oder die Verantwortlichen haben ihren Hauptsitz
  • oder wenigstens eine Niederlassung innerhalb der EU

und im sachlichen Anwendungsbereich der EU-DSGVO

Art. 2 EU-DSGVO
  • und es handelt sich nicht um Verantwortliche innerhalb der Strafverfolgung (Polizei, Gerichte)
  • und es handelt sich nicht um EU-Organe (da gelten eigene Vorschriften)
  • und es handelt sich nicht um den rein persönlichen oder familiären Bereich

und im zeitlichen Anwendungsbereich der EU-DSGVO

Art. 99 Abs. 2 EU-DSGVO
  • findet also nach dem 28.05.2018, 0:00 Uhr statt
    • also ab dem Übergang 27.05.2018, 23:59 Uhr zum 28.05.2018
    • nicht erst ab dem Übergang 28.05.2018, 23:59 Uhr zum 29.05.2018

personenbezogene Daten

Art. 4 EU-DSGVO
  • Personenbezogenen sind Daten (auch Bild- und Tonaufnahmen), durch die
    • eine oder mehrere natürliche Personen
    • direkt oder mit Hilfe von weiteren Datenquellen
    • eindeutig
  • identifiziert werden kann.
  • Juristische Personen genießen keinen Datenschutz
    • Das kann bei Ein-Mensch-Firmen anders sein!
  • Verstorbene genießen auch keinen Datenschutz
    • Das Interesse der Hinterbliebenen kann aber relevant sein.

oder besondere Kategorien personenbezogener Daten

Art. 9 EU-DSGVO
  • Daten über "rassische" oder ethnische Herkunft (Originaltext, Anführungszeichen von mir)
  • politische Meinungen oder Gewerkschaftszugehörigkeit
  • religiöse oder weltanschauliche Überzeugungen
  • genetische, biometrische oder gesundheitliche Daten
  • Sexualleben oder die sexuelle Ausrichtung

verarbeitet werden,

Art. 4 Nr. 2 EU-DSGVO, Übermittlung: Art. 44 EU-DSGVO, § 8 DSG NW, § 25 BDSG, Videoüberwachung: § 20 DSG NW, § 4 BDSG
  • erhoben (z. B. Daten werden von Betroffenen erfragt)
  • erfasst (z. B. Daten werden gespeichert)
  • empfangen (z. B. Daten werden von anderen Stellen übermittelt)
  • ausgelesen (z. B. Daten werden von Maschinen auf Anfrage übermittelt)
  • abfragen (z. B. Daten werden von anderen Stellen angefordert)
  • organisiert (z. B. Daten werden anders sortiert)
  • geordnet (z. B. Daten werden reindiziert)
  • angepasst (z. B. Daten werden übersetzt)
  • verwendet (z. B. Adressen bei Serienbriefen)
  • abgeglichen (z. B. mit anderen Datenbeständen ergänzt)
  • verknüpft (z. B. mit anderen Datenbeständen koordiniert)
  • offengelegt (z. B. in sozialen Netzen gepostet)
  • übermittelt (z. B. an andere Stellen gesendet)
  • verbreitet (z. B. ins Internet gestellt)
  • bereitgestellt (z. B. zum Abruf in die Cloud)
  • eingeschränkt (z. B. aus der Bearbeitung genommen)
  • gelöscht (z. B. wieder herstellbar verschoben)
  • vernichtet (z. B. endgültig unbrauchbar gemacht)

dann müssen die Verantwortlichen

Art. 24, 26 u. 27 EU-DSGVO
  • Verantwortlich ist, wer über Zweck und Mittel der Verarbeitung entscheidet
  • Es kann auch gemeinsam Verantwortliche geben
    • die vereinbaren, wer welche Pflichten nach der EU-DSGVO übernimmt
    • und die die wesentlichen Regelungen den Betroffenen zur Verfügung stellt.

oder ihre Auftragsverarbeiter

Art. 28 EU-DSGVO, § 52 DSG NW, § 62 BDSG
  • auf die Einhaltung der Garantien der EU-DSGVO hin geeignete Auftragsverarbeiter
  • Auftragsverarbeiter sind selbst Verantwortliche mit allen Rechten und Pflichten
  • wenn sie selbstständig über Mittel und Zweck der Verarbeitung entscheiden können
  • dürfen nur mit einem Vertrag bestimmten Inhalts beauftragt werden:
    • Gegenstand der Verarbeitung
    • Dauer der Verarbeitung
    • Art der Verarbeitung
    • Zweck der Verarbeitung
    • Art der personenbezogenen Daten
    • Kategorien betroffener Personen
    • Rechte und Pflichten der Verantwortlichen
    • Weisungsgebundenheit und Vertraulichkeit der Auftragnehmer
    • keine weitere Auftragsvergabe der Auftragnehmer ohne Rücksprache
    • Regelung einer Löschungspflicht nach dem Ende der Verarbeitung

dies aufgrund einer Rechtsgrundlage

Art. 5 EU-DSGVO, Beschäftigtendatenschutz: Art. 88 EU-DSGVO, § 18 DSG NW, § 26 BDSG
  • Rechtsgrundlagen sind
    • Interessen
      • lebenswichtiger Art (Leben oder Gesundheit der Betroffenen sind bedroht)
      • öffentlicher Art (das Interesse der Öffentlichkeit ist höher als das der Betroffenen (z. B. bei allgemeinen Bedrohungslagen wie Pandemien oder Krieg))
      • berechtigter Art (z. B. Firmen, deren Interesse Handel und Produktion ist)
    • Verträge, Vorverträge oder vorvertragliche Verhandlungen
      • deren Beteiligte die Betroffenen sind
    • Gesetze
      • materieller Art (also z. B. keine Satzungen)
    • oder in Ausübung öffentlicher Gewalt
      • die der Staat oder damit Beliehene ausüben dürfen

oder einer informierten Einwilligung der Betroffenen

Art. 6 und 7 EU-DSGVO, § 38 DSG NW, § 51 BDSG
  • Einwilligung ist immer möglich und immer gültig
  • Denn mit seinen persönlichen Daten kann jeder tun und lassen, was er will
  • Einwilligung muss freiwillig erfolgen (darauf muss hingewiesen werden!)
  • Sie darf nicht an Bedingungen geknüpft sein (Koppelungsverbot)
  • Sie muss jederzeit nachweisbar sein (während der Verarbeitung)
  • Einwilligung nur für jeweils einen Sachverhalt möglich
  • Einwilligungen können jederzeit widerrufen werden, gelten aber nur für die Zukunft
  • Einwilligende müssen "informiert" sein!
  • Kinder unter 16 Jahren können nicht einwilligen (Träger elterlicher Belange muss einwilligen)

unter Beachtung der zusätzlich bei besonderen Kategorien personenbezogener Daten geltenden Voraussetzungen,

Art. 9 EU-DSGVO
  • Basiert die Verarbeitung auf einer Einwilligung, muss die Verarbeitung dieser Daten explizit aufgeführt sein.
  • Die Verarbeitung muss erforderlich sein, um ein soziales Recht auszuüben oder einer entsprechenden Pflicht nachzukommen.
  • Eine Einwilligung der Betroffenen ist gesundheitlich oder rechtlich nicht möglich.
  • Die Verarbeitung erfolgt durch eine nicht gewinnorientierte Stiftung.
  • Die Betroffenen haben die Daten selbst öffentlich gemacht.
  • Die Verarbeitung ist im Bereich von Gerichten erforderlich.
  • Die Verarbeitung ist aus erheblichen öffentlichen Interessen erforderlich.
  • Verarbeitung zum Zwecke der
    • Gesundheitsvorsorge,
    • Arbeitsmedizin,
    • Beurteilung der Arbeitsfähigkeit,
    • medizinische Diagnostik,
    • Versorgung oder Behandlung im Gesundheitsbereich,
    • Schutz vor Pandemien o. ä.,
    • archivarische, wissenschaftliche oder historische Zwecke
  • Verarbeitende unterliegen einer Geheimhaltungspflicht

unter Wahrung der Rechte der Betroffenen,

Art. 12 bis 22 EU-DSGVO, §§ 11 - 14 DSG NW, §§ 29, 32 - 37, 53 - 60 BDSG
  • konstruktive Rechte (Datenübertragbarkeit, nicht automatisierte Entscheidungen)
  • destruktive Rechte (Widerspruch, Einschränkung, Löschung)
  • deskriptive Rechte (Auskunft, Mitteilungen)
  • Eventuell müssen Datenschutzbeauftragte benannt werden
  • Deren Kontaktdaten müssen angegeben werden, der Name jedoch nicht.

zweckgebunden,

Art. 6 Abs. 4 EU-DSGVO, § 9 DSG NW, §§ 23 - 24 BDSG
  • Der Zweck der Verarbeitung muss vor der Verarbeitung festgelegt sein.
  • Eine Zweckänderung ist die Nutzung vorhandener Daten zu einem anderen Zweck als dem, der bei der Entstehung der Daten der Grund war.
  • Eine Zweckänderung muss mit dem ursprünglichen Zweck vereinbar sein.
  • oder es muss eine Rechtsgrundlage für die Zweckänderung geben (Gesetz, Einwilligung)
  • Zu berücksichtigen sind
    • Verbindungen zwischen dem ursprünglichen und dem neuen Zweck
    • Zusammenhängen der Erhebung der Datenbestände
    • Arten der personenbezogenen Daten, gerade bei besonderen Kategorien personenbezogener Daten
    • Folgen der neuen Verarbeitung
    • Garantien für Rechte und Freiheiten der Betroffenen durch Verschlüsselung oder Pseudonymisierung
  • Eine Weiterverarbeitung für im Öffentlichen Interesse liegende archivarische, wissenschaftliche oder historische Zwecke gilt als vereinbar.

minimiert,

Art. 5 Abs. 1 Bst. c EU-DSGVO
  • Es dürfen nur so viele Daten verarbeitet werden, wie für den Zweck unbedingt notwendig sind.

transparent,

Art. 13 u. 14 EU-DSGVO, § 11 DSG NW, § 33 BDSG
  • Bei Erfassungen und Empfang muss eine Datenschutzerklärung an die Betroffenen abgegeben werden.
  • Betroffene haben ein Recht auf Auskunft

mit den korrekten Daten,

  • Betroffene haben ein Recht auf Korrektur ihrer Daten
  • Betroffene haben u. U. ein Recht auf Sperrung ihrer Daten (Aussetzen der Verarbeitung)

zeitlich begrenzt,

  • Die Daten dürfen nur so lange personenbezogen sein, wie es für die Verarbeitung unbedingt notwendig ist.
  • Der Personenbezug kann dann reversibel (Pseudonymisierung) oder irreversibel (Anonymisierung) entfernt werden.
  • Hinweis: Betroffene haben u. U. ein Recht auf Einschränkung, Sperrung oder Löschung ihrer Daten.

integer und vertraulich,

  • Verantwortliche müssen einen Datenschutzbeauftragten benennen, wenn
    • es sich bei den Verantwortlichen um Behörden handelt
    • oder mindestens 20 Personen regelmäßig mit der Verarbeitung beschäftigt sind (Anzahl persönlicher E-Mail-Adressen?)
    • oder besondere Kategorien personenbezogener Daten verarbeitet werden
    • oder personenbezogene Daten in großem Umfang verarbeitet werden
    • oder systematisch das Verhalten natürlicher Personen überwacht wird

nach Treu und Glauben durchführen

  • Nach herrschender Meinung in anständiger und fairer Weise.
  • Englischer Begriff: "fairness".

und dabei technische und organisatorische Maßnahmen ergreifen

Art. 25 u. 32 EU-DSGVO
  • Datensicherung (Erzeugen von redundanten Datenbeständen)
  • Datensicherheit (Wahrung der Integrität der Datenbestände)
  • Datenzugriff (Schutz vor unberechtigtem Zugriff)

und das alles nachweisen können

Art. 30 EU-DSGVO, § 70 BDSG
  • Verantwortliche und Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis schriftlich führen (Art. 30 EU-DSGVO).
    • wenn es sich um Behörden handelt
    • oder um private Stellen,
      • die mehr als 249 Beschäftigte haben
      • deren Verarbeitung nicht nur gelegentlich erfolgt
      • oder es werden dort besondere Kategorien personenbezogener Daten verarbeitet
      • oder es werden dort Daten über Verurteilung oder Straftaten verarbeitet
  • das mindestens folgendes enthält:
    • Name und Kontaktdaten des Verantwortlichen,
      • der gemeinsam Verantwortlichen und der Vertreter,
      • sowie ggf. der Auftragsverarbeiter
    • Name und Kontaktdaten des Datenschutzbeauftragten
    • die Zwecke der Verarbeitung
    • die Kategorien betroffener Personen und Daten
    • die Kategorien von Empfängern (auch in Drittländern)
    • Übermittlungen an ein Drittland
    • Fristen für die Löschung der Daten
    • technische und organisatorische Maßnahmen zum Schutz der Daten
  • und das den Aufsichtsbehörden auf Anfrage vorgelegt werden muss

und möglicherweise Folgen abschätzen

Art. 35 EU-DSGVO, § 24 DSG NW, § 67 BDSG
  • Eine Datenschutzfolgenabschätzung muss von Verantwortlichen erstellt werden, wenn
    • neue Technologien verwendet werden (Data Mining, Profiling, KI)
    • voraussichtlich ein hohes Risiko für Rechte und Freiheiten für die Betroffenen entsteht, weil
      • Art (regelmäßig Profiling)
      • Umfang (große Mengen besonderer Kategorien personenbezogener Daten)
      • Umstände (systematische Überwachung)
      • Zwecke
    • der Verarbeitung dies verursachen könnte.
  • Der Rat der Datenschutzbeauftragten muss vorher eingeholt werden.
  • Eine Datenschutzfolgenabschätzung enthält zu mindestens folgendes:
    • Beschreibung von Verarbeitungsvorgängen
    • Beschreibung von Zwecken
    • Beschreibung von Interessen
    • Bewertung von Notwendigkeit und Verhältnismäßigkeit
    • Bewertung von Risiken für Rechte und Freiheiten und
    • die dazu vorgenommenen Abhilfen (Garantien, Sicherheitsmaßnahmen, Verfahren).

weil ansonsten eine Meldung an die Aufsichtsbehörde erfolgen,

Art. 33 EU-DSGVO, § 59 DSG NW, § 65 BDSG
  • Für die Behörden des Bundes ist der oder die Bundesdatenschutzbeauftragte zuständig (§9 BDSG).
  • Zuständig für nicht-öffentliche Stellen (Firmen, Privatpersonen) ist der oder die Landesdatenschutzbeauftragte (§ 40 BDSG).
  • Betrifft der Fall mehrere Bundesländer, ist der oder die Bundesdatenschutzbeauftragte zuständig (§ 40 BDSG).
  • Die Meldung
    • soll binnen 72 Stunden nach dem Vorfall erfolgen oder begründet später
    • enthält die Art der Verletzung (Gegen welches Benutzerrecht wurde verstoßen?)
    • enthält Kontaktdaten der Datenschutzbeauftragten
    • enthält wahrscheinliche Folgen der Verletzung
    • enthält ergriffene oder vorgeschlagene Maßnahmen zur Behebung
  • Der Verantwortliche benachrichtigt auch die betroffenen Personen

eine Klage erhoben,

  • Die Verjährungsfrist beträgt drei bis fünf Jahre.
  • Zuständig sind die ordentlichen Gerichte (also z. B. nicht die Verwaltungsgerichte).
  • Die Übersendung der Akten erfolgt zuerst an die Staatsanwaltschaft,
    • die sie nach Prüfung auf Einstellung
    • nicht ohne Zustimmung der erlassenden Datenschutzbehörde
    • an das Strafgericht übersendet.

und eventuell eine Strafe verhängt

  • Bußgelder in Höhe von 2 % des weltweiten Jahresumsatzes sind vorgesehen.
  • Bußgelder werden gegen jeden Verantwortlichen verhängt.
  • Mitarbeiter können allerdings auch Verantwortliche sein (Vorsatz, Fahrlässigkeit).
  • Bis 100.000.- € Bußgeld ist das Amtsgericht zuständig, darüber hinaus das Landesgericht.
  • Ein Anspruch auf Verhängung eines Bußgeldes besteht nicht.

oder Schadensersatz verlangt werden kann.

  • Voraussetzung ist, dass wirklich ein Schaden entstanden ist.
  • Ein bloßer Verstoß gegen das Datenschutzrecht reicht nicht.
  • Schmerzensgeld ist auch möglich.