Rückschau auf 5 Jahre DS-GVO – Die Entwicklung bei DS-GVO aus deutscher und europäischer Perspektive Dr. Stefan Brink LfDI Baden-Württemberg 29. September 2022 Bitkom – Privacy Conference 2022

Rückschau 2018-2022 1. DS-GVO: Booster für den Datenschutz 2. Bußgelder? Läuft. 3. DS-GVO als Chance für Datenverarbeitung? 4. Einheitlichkeit der Aufsicht D/EU 5. Hidden Agenda: Art. 82 DS-GVO 6. Ausblick 2

Rückschau 2018-2022 1. DS-GVO: Booster für den Datenschutz • EU-Richtlinie 1995 gescheitert • Digitale Bürgerrechte (15/16/17/18/77/82 …) • Rechtsgrundlagen Datenverarbeitung • Unabhängige Aufsicht (Vorrang EU-R) 3

Rückschau 2018-2022 2. Bußgelder? Läuft. 4

Bußgeldpraxis des LfDI BW • Hohe Bußgelder wegen Verletzung TOMs • 20.000 € wg Speicherung von Passwörtern im Klartext • 80.000 € wg unsachgem. Entsorgung von Finanzunterlagen • 80.000 € wg Veröffentlichung von Gesundheitsdaten • 100.000 € wg Veröffentlichung von Bewerberdaten • 1,4 Mio wegen Werbeverstoß (AOK BaWü) 5

Bußgeldkonzept der DSK 1. Kategorisierung der Unternehmen nach Größenklassen • Größeneinordnung bzgl. KMU anhand Empfehlung der Kommission v. 06.03.2003 (2003/361/EG) • Nochmalige feinere Aufgliederung 2. Ermittlung des mittleren Jahresumsatzes d. jeweilig. Unternehmensgruppe • Es gilt der funktionale Unternehmensbegriff (dh bei tatsächl. bestimmenden Einfluss auf TochterU ist Konzernumsatz maßgeblich) 3. Ermittlung des wirtschaftlichen Grundwertes • Mittlerer Jahresumsatz der Unternehmensgruppe durch 360 (Tage) 4. Multiplikation des Grundwertes nach Schweregrad •   Verstöße gem. Art. 83 Abs. 4 = Faktoren von 1-2 (leicht) bis 6+ (sehr schwer) •   Verstöße gem. Art. 83 Abs. 5, 6 = Faktoren von 1-4 (leicht) bis 12+ (sehr schwer) 5. Anpassung anhand aller sonstigen Umstände • Anpassung kann zur Beibehaltung oder zur (deutlichen) Reduzierung oder Erhöhung des errechneten Grundwertes führen • Umstände können u.a. sein: geringe Rentabilität, gute Zusammenarbeit mit der Aufsichtsbehörde, Schadenswiedergutmachung etc. 6

Praktische Erfahrungen außerhalb Deutschlands (!) Verfahrensrechtliche Grundlagen in anderen EU-Staaten zum Teil sehr unterschiedlich. •    Einzelne EU-Mitgliedsstaaten nutzen eigene Konzepte •    Deutsches Konzept stößt auf Interesse (!) Unterschiedliche Rechtstraditionen und Verfahrensweisen bei gemeinsamer Richtlinie zu beachten Hohe Bußgelder werden auch in anderen EU-Mitgliedsstaaten verhängt, bspw: 21.01.2019: 50 Mio. € in Frankreich              28.08.2019: 2,6 Mio € in Bulgarien 08.07.2019: 204, 6 Mio. € in UK                  23.10.2019: 18 Mio. € in Österreich 09.07.2019: 110 Mio. € in UK           11.12.2019: insg. 11,5 Mio. € in Italien 7

Rückschau 2018-2022 3. DS-GVO als Chance für Datenverarbeitung? • bitkom:  67 % Unternehmen - DS-GVO setzt weltweit Maßstäbe 50 % Unternehmen - stärkt einheitliche Wettbewerbsbedingungen 70 % Unternehmen - kein EU-weit einheitlicher Datenschutz 29 % Unternehmen - DS-GVO ist Wettbewerbsvorteil 8

Rückschau 2018-2022 4. Einheitlichkeit der Aufsicht D/EU • DS-GVO hilft: Marktortprinzip + one stop shop • DSK koordiniert • Diversität in der Entwicklung nutzt • D ist weniger relevant als EU • EDSA koordiniert • EU benötigt Zeit 9

Rückschau 2018-2022 5. Hidden Agenda: Art. 82 DS-GVO • Der neue 83 heißt 82. 10