DSGVO-Strafen in Österreich und der EU
Beitrag verfasst von Dr. Rainer Knyrim am 03.09.2019 – KTR-Newsletter Sept 2019
Einem MEDIENBERICHT (derstandard.at) zufolge hat die österreichische Datenschutzbehörde die höchste und die zweithöchste bisherige Strafe verhängt:
Die zweithöchste Strafe betraf laut diesem Bericht jenen Fußballtrainer aus dem Mostviertel, der sein Handy in der Damen-Umkleide platzierte und damit jahrelang Spielerinnen in der Dusche filmte. Die Datenschutzbehörde verhängte eine Strafe von EUR 11.000,– gegen diesen Trainer.
Die bisher höchste verhängte Strafe von EUR 50.000,- betraf ein Unternehmen „aus dem medizinischen Bereich“ wegen Verstößen gegen die Meldepflichten und Nichtbestellung eines Datenschutzbeauftragten. Wir tippen darauf, dass es sich dabei um die Allergie-Tagesklinik gehandelt hat, über die wir im letzten Newsbeitrag berichtet haben ZUM BEITRAG (kt.at) bei der die Datenschutzbehörde nicht weniger als 14 Einzelverstöße feststellte – siehe auch den Beitrag dazu in „report“ ZUM BEITRAG (kt.at) sowie die Rezension dazu in ecolex ZUR REZENSION (kt.at). Da laut der damals berichteten Entscheidung dieses Unternehmen ein relativ kleines ist (im Bereich 20-40 Mitarbeiter), kann vermutet werden, dass die Strafe im Bereich von 1-2% des Umsatzes liegen dürfte.
Im internationalen Vergleich sind diese Strafen in absoluten Zahlen immer noch niedrig, denn die Liste der bereits verhängten oder angekündigten „geschmalzenen“ Strafen der Datenschutzbehörden anderer Staaten wird immer länger und dramatischer:
- England: EUR 204 Mio gegen British Airways und EUR 110 Mio gegen Marriott wegen Datenverlust bei Hackerangriffen angekündigt
- Frankreich: EUR 50 Mio gegen Google wegen Verstoß gegen Informationspflichten und freiwillige, informierte Einwilligung
- Deutschland: Millionen-Bußgeld von Berliner Landesdatenschutzbeauftragten angekündigt
- Niederlande: EUR 460.000 wegen unzulässigem Zugriff auf Patientendaten in Krankenhaus
- Portugal: EUR 400.000 wegen fehlendem Zugriffsmanagement in Krankenhaus
- Polen: EUR 220.000 wegen fehlender Datenschutzinformation
- Griechenland: EUR 150.000 gegen PwC wegen unfreiwilliger „Einwilligung“ der Mitarbeiter
Mehr zu den Strafen erfahren sie im Editorial des nächsten Heftes von „Datenschutz konkret“ das noch im September erscheint.
Die Schonzeit im Datenschutzrecht ist jedenfalls vorbei!