Die DSGVO kann auch Ihren Personalstand beeinflussen
Kommt Artikel 3 § 2 DSGVO zur Anwendung, so verpflichtet Artikel 27 DSGVO den Verantwortlichen und den Auftragsbearbeiter, die nicht in der Union niedergelassen sind, schriftlich einen Vertreter zu benennen, sofern die Verordnung für ihre Bearbeitungstätigkeiten gilt. Dieser Vertreter muss in einem der Mitgliedstaaten ansässig sein, in dem die natürlichen Personen ihren Wohnsitz haben, deren personenbezogene Daten im Zusammenhang mit einem Waren- oder Dienstleistungsangebot bearbeitet werden oder deren Verhalten beobachtet wird (Art. 27 § 3).
Gemäss der Erwägung 80 DSGVO ist der Vertreter insbesondere die Kontaktstelle für die Aufsichtsbehörden (vgl. Art. 58 DSGVO) und die betroffenen Personen, und zwar in allen Fragen der Bearbeitung personenbezogener Daten. Der Vertreter muss ein Register aller Kategorien von Tätigkeiten zur Bearbeitung personenbezogener Daten erstellen, die unter seiner Verantwortung durchgeführt werden (vgl. Art. 30 DSGVO). Er kann auch Durchsetzungsverfahren unterworfen werden, wenn der Verantwortliche oder der Auftragsbearbeiter gegen die Verordnung verstösst. Es muss aber betont werden, dass dies die Verantwortung des Verantwortlichen oder des Auftragsbearbeiters gegenüber den Behörden und den betroffenen Personen in keiner Weise beeinflusst, da die Benennung unabhängig von Gerichtsverfahren erfolgt, die gegen den Verantwortlichen oder den Auftragsbearbeiter eingeleitet werden könnten.
Artikel 27 § 2 bestimmt, dass diese Benennung nicht gilt für:
- „eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer
Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der
Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder - Behörden oder öffentliche Stellen.“
Sanktionen
Ein sich änderndes Strafregime
Die DSGVO gesteht im Gegensatz zum schweizerischen Recht den Aufsichtsbehörden zu, selbst Geldbussen zu verhängen, wenn eine Reihe von Voraussetzungen erfüllt ist. Jede Aufsichtsbehörde muss sicherstellen, dass die für Verstösse gegen die DSGVO verhängten Sanktionen wirksam, verhältnismässig und abschreckend sind. Auch sieht die Verordnung eine ganze Reihe von abschreckenden Massnahmen (vgl. Art. 58 § 2 RGPD) vor, z. B. Mahnungen, Verwarnungen, förmliche Bekanntmachungen, vorübergehende oder dauerhafte Beschränkungen der Bearbeitung. Unter all diesen Instrumenten müssen die Datenschutzbehörden dasjenige auswählen, das dem Ziel der Einhaltung der Vorschriften am besten gerecht wird.
Als letztes Mittel können Verantwortliche mit Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent ihres weltweiten Jahresumsatzes belegt werden. Artikel 83 DSGVO listet die Bedingungen auf, die bei der Bestimmung der Höhe der Strafe zu berücksichtigen sind.
Dabei ist jedoch zu beachten, dass gegebenenfalls auch der aus einem Gerichtsverfahren resultierende Schadenersatz sowie Zinsen zu zahlen sind.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow