[Profät Di Abolo]

Guten TagX!

Rein fiktiv natürlich, aber kein Märchen!
Es war einmal in Österreich der Gebühreninkasso Service (GmbH), aus dem dann wurde der Gebühren Info Service (GmbH), der dann in ORF-Beitrags Service (GmbH) mit Einführung des ORF-Beitrages 2024 umbenannt wurde.

ORF-Beitrags Service (wikipedia)
https://de.wikipedia.org/wiki/ORF-Beitrags_Service

Nanu, diese Geschichte kommt uns doch bekannt vor!?! Aber fahren wir fort!
Und so geschah es, dass ein Subunternehmer, im Jahre 4 vor Einführung des ORF-Beitrages also 2020, ca. 9 Millionen Datensätze (Meldedaten) von der GIS erhielt und diese "aus einem Bürovershen" ungesichert auf seinem Server speicherte.
Ein gemeiner, mieser Hacker bemerkte dies und so nahm diese Geschichte ihren lauf.

Herzlichen Glückwunsch GIS/ORF, you´ve been hacked!

Stadt Wien.at, 26.01.2023
You've been hacked: Der GIS Datenskandal und seine Folgen
Ein 25-Jähriger Niederländer hat neun Millionen Meldedaten heruntergeladen und im Internet zum Verkauf angeboten. Was sich liest wie der Prolog zum neuesten Netflix-Thriller, ist tatsächlich ein österreichischer Datenskandal, wie er im Buche steht.
https://www.stadt-wien.at/wien/news/gis-datenleck.html

Kurier.at, 29.11.2023
ORF-Tochter GIS hat bei riesigem Datenleck gegen Verordnung verstoßen
Datenschutzbehörde gibt Beschwerde in einem Teil Recht. Hacker hatte 9 Millionen Adressen zum Verkauf angeboten.
von Georg Leyrer
https://kurier.at/kultur/medien/orf-tochter-gis-hat-bei-riesigem-datenleck-gegen-verordnung-verstossen/402688588

DerStandart.at, 29.11.2023
Datendiebstahl
Datenschutzbehörde rügt GIS nach Verlust von neun Millionen Meldedaten
Die Daten von nahezu der gesamten Bevölkerung wurden gestohlen. Nun stellt die Datenschutzbehörde fest, dass die GIS gegen die Datenschutzgrundverordnung verstoßen hat
von Muzayen Al-Youssef
https://www.derstandard.at/story/3000000197474/datenschutzbehoerde-ruegt-gis-nach-verlust-von-neun-millionen-meldedaten

[...]
Eine Geldstrafe kann die Datenschutzbehörde nicht verhängen, da eine solche in Österreich für die öffentliche Hand nicht vorgesehen ist. Sie stellt in ihrem Bescheid aber klar fest, dass die Meldedaten für Identitätsdiebstähle missbraucht werden könnten.
[...]

Echt jetzt? Dollet Ding! Die öffentliche Hand als GmbH! Und das Subunternehmen? Also die Hand der Hand!?!
Auf die "Datenschutzbehörden" iss "echt verlass", wenn es um den ÖRR geht!
Nun sind wir hier ja im gallischen Dorf und deshalb:
@pinguin, Bruder! Ick überlass ditt dann dir den Rest (EuGH C-807/21).

Fahren wir nun fort mit der Geschichte:

dsb - Datenschutzbehörde Österreich - Bekanntmachungen der Datenschutzbehörde
Information der Datenschutzbehörde zur Entscheidung über den sogenannten „GIS Data Breach“
https://www.dsb.gv.at/download-links/bekanntmachungen.html
Mit Link zum "nicht rechtskräftigen Musterbescheid"..

Die Datenschutzbehörde hat im Verlauf des Jahres 2023 mehrere Datenschutzbeschwerden erhalten, die gegen die GIS Gebühren Info Service GmbH („GIS“) gerichtet waren. Gegenstand dieser Datenschutzbeschwerden war der sogenannte „GIS Data Breach“. Zusammengefasst handelt es sich um einen Vorfall aus dem Jahre 2020, bei dem es zu einer Kompromittierung von Meldedaten gekommen ist.

Im Rahmen des Ermittlungsverfahrens gelangte die Datenschutzbehörde in den meisten Fällen zu dem Ergebnis, dass die jeweils beschwerdeführende Partei von dem gegenständlichen Vorfall betroffen ist. Das bedeutet, dass die Meldedaten der beschwerdeführenden Partei zum damaligen Zeitpunkt im Internet zum Verkauf angeboten wurden. Sofern in diesen Fällen eine Verletzung im Recht auf Geheimhaltung oder die Rechtmäßigkeit der Datenverarbeitung geltend gemacht wurde, hat die Datenschutzbehörde einen entsprechenden Verstoß der GIS gegen datenschutzrechtliche Bestimmungen bescheidmäßig festgestellt. Diese Bescheide sind nicht rechtskräftig.

Bitte beachten Sie, dass allfällige Schadenersatzansprüche nicht von der Datenschutzbehörde zugesprochen werden können. Diesbezügliche Eingaben an die Datenschutzbehörde sind daher nicht zielführend. Allfällige Schadenersatzansprüche sind ausschließlich bei den Zivilgerichten geltend zu machen.

Hier finden Sie einen (nicht rechtskräftigen) Musterbescheid zu Ihrer Information (Dateigröße: 387 KB).
https://www.dsb.gv.at/dam/jcr:37c7b1a9-c70e-4661-9555-44130c526457/GIS-Musterbescheid.pdf

Aus diesem "nicht rechtskräftigem Musterbescheid / Spruch"
https://www.dsb.gv.at/dam/jcr:37c7b1a9-c70e-4661-9555-44130c526457/GIS-Musterbescheid.pdf

[...]
Datenschutzbeschwerde (Recht auf Geheimhaltung)
A/GIS Gebühren Info Service GmbH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von A (beschwerdeführende Partei) vom 28.01.2023 gegen die GIS Gebühren Info Service GmbH (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung wie folgt:

- Der Beschwerde wird Folge gegeben und es wird festgestellt, dass die Beschwerdegegnerin die beschwerdeführende Partei im Recht auf Geheimhaltung verletzt hat, indem die Beschwerdegegnerin es mangels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO („Sicherheit der Verarbeitung“) ermöglicht hat, dass personenbezogene Daten der beschwerdeführenden Partei (jedenfalls Vor- und Nachname, Geburtsdatum und postalische Anschrift) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden.

Rechtsgrundlagen: [...]

Begründung

[...]

C. Sachverhaltsfeststellungen

C.1. Die BG ist mit der der Einbringung und Abrechnung der Rundfunkgebühr in Österreich beauftragt und vollzieht das Rundfunkgebührengesetz. Zur Wahrnehmung dieser Aufgabe erhält sie Meldedaten aus lokalen Melderegistern von den jeweiligen lokalen Meldebehörden. Hierzu gehören in der Regel zumindest der Vor- und Nachname, das Geburtsdatum und die postalische Anschrift von in Österreich gemeldeten Personen.

In der Vergangenheit wurde ein sog. Customer-Relationship-Management-Systems (CRM-Systems) eingeführt. Für die Einführung des CRM-Systems wurde ein IT-Unternehmen herangezogen. Konkret wurde das IT-Unternehmen mit der Systemgestaltungsentwicklung und -implementierung beauftragt. Die BG hatte das Ziel, eine Normierung der Datenbestände (Meldedaten) zu erreichen, da diese aus unterschiedlichen Quellen stammten und daher eine unterschiedliche Struktur aufwiesen.

Beweiswürdigung zu C.1.: Die getroffenen Feststellungen zur grundsätzlichen Tätigkeit der BG sind allgemein bekannt und unstrittig. Der Umstand, dass die BG Meldedaten aus lokalen Melderegistern von den jeweiligen lokalen Meldebehörden erhält und dass es sich hierbei regelmäßig um Vor- und Nachname, Geburtsdatum und postalische Anschrift handelt, sowie die Feststellungen zur Heranziehung des IT-Unternehmens, beruhen auf der Aussage der BG im Rahmen der mündlichen Einvernahme vom 25. Mai 2023 im Hauptverfahren zur GZ: 123***, S. 3 und S. 5( Hinweis: In der genannten Niederschrift wird das IT-Unternehmen als „Subunternehmen“ bezeichnet).

C.2. Bei einem Teilschritt des genannten Projekts (Einführung eines CRM-Systems) kam es zu folgendem Vorfall:

Das IT-Unternehmen hat die seitens der BG zur Verfügung gestellten Daten – im Wesentlichen Meldedaten – auf eine Testumgebung geladen. Auf diese Testumgebungen haben Mitarbeiter der BG und des IT-Unternehmens zugegriffen (Remote Access). Grundlage für die Testumgebung war der sog. *** [Hinweis der Datenschutzbehörde: Technische Details wurden entfernt].

Das IT-Unternehmen hat in der Folge im Rahmen von Entwicklungs- bzw. Testtätigkeiten eine Re-Konfiguration am Server der Testumgebung vorgenommen und einen Zugangs-Port zum Server geöffnet und offengelassen. Ein Remote Access ermöglicht es einem Nutzer, von der Ferne auf Netzwerkressourcen (im gegenständlichen Fall die Testumgebung) zuzugreifen, als wäre der Nutzer direkt an einem Rechner angemeldet, der mit diesem Netzwerk verbunden ist.

Einer dritten Person (Hacker) gelang es im Mai 2020, durch eine gezielte Suche die Ziel-IP-Adresse und den Ziel-Port des Servers der Testumgebung, konkret: der verfahrensgegenständlichen ***-Datenbank, herauszufinden. Danach gelang es der dritten Person (Hacker), über die offene Netzwerk-Schnittstelle auf die Datenbank zuzugreifen und den Datenbank-Bestand zu exfiltrieren. Durch die offene Netzwerk-Schnittstelle war es für den Zugriff auf die ***-Datenbank nicht mehr notwendig, sich mittels Remote Access mit dem Server der Testumgebung zu verbinden. Andere Vorkehrungen bzw. Sicherheitsmechanismen, um unautorisierten Zugriff auf die ***-Datenbank zu verhindern (wie etwa eine zusätzliche Zugangsbeschränkung durch Authentifizierung mittels Nutzername und Passwort), waren bei der Konfiguration nicht getroffen worden.

Die dritte Person (Hacker) hat den exfiltrierten Datenbestand (die Meldedaten, die die BG dem IT-Unternehmen zur Verfügung gestellt hat) in der Folge im Internet im sog. „RaidForums“ zumindest im Mai 2020 zum Verkauf angeboten.

Der genannte Datenbestand wurde von einer öffentlichen Stelle in Österreich zwischen 24. und 25. Mai 2020 angekauft und wurde der Datenbestand nach Datenübermittlung offline genommen. Die Daten im exfiltrierten Datenbestand waren jedenfalls nicht aktueller als zum Zeitpunkt des Jahres 2019.

Beweiswürdigung zu C.2.: Die getroffenen Feststellungen zur Beauftragung des IT-Unternehmens durch die BG und zum Verkauf der Daten im „RaidForums“ durch einen Hacker ergeben sich aus den Aussagen der BG im Rahmen der mündlichen Einvernahme vom 25. Mai 2023 im Hauptverfahren zur GZ: 123***, S. 5 ff. Die getroffenen Feststellungen zu den Details des IT-Projekts, insbesondere zum offen gelassenen Port und den darauffolgenden Zugriff durch eine dritte Person (Hacker), ergeben sich aus der Stellungnahme des IT-Unternehmens vom 8. September 2020 im Rahmen des amtswegigen Verfahrens zur GZ: D213.1087, 2020-0.457.209, S. 2, S. 4 sowie S. 6. Die BG hat zum damaligen Zeitpunkt Parteiengehör zur Stellungnahme des IT-Unternehmens vom 8. September 2020 erhalten. Das Thema des offen gelassenen Ports wurde auch im Rahmen der mündlichen Einvernahme vom 25. Mai 2023 im Hauptverfahren zur GZ: 123*** mit der BG erörtert. Zur Funktionsweise des *** wurde eine amtswegige Recherche unter *** durchgeführt. Wie sich noch aus der rechtlichen Beurteilung ergibt, spielt das Verschulden für ein datenschutzrechtliches Beschwerdeverfahren keine Rolle (vgl. D.4.), weshalb diesbezügliche Feststellungen nicht erforderlich waren. Die Feststellungen zum Ankauf des Datenbestands ergeben sich aus der Beantwortung des gestellten Amtshilfeersuchens durch die öffentliche Stelle, die den Datenbestand angekauft hat und sind unstrittig.
[...]

D.4. Ergebnis

Ausgehend von all diesen Überlegungen ist im Ergebnis festzuhalten, dass eine Verletzung von § 1 Abs. 1 DSG (Recht auf Geheimhaltung) und Art. 6 Abs. 1 DSGVO (Rechtmäßigkeit der Datenverarbeitung) als Folge einer Verletzung von Art. 32 DSGVO vorliegt. Es war daher spruchgemäß zu entscheiden.

Naja, Zugangs-Port zum Server geöffnet und offengelassen, shit happens!
Wer war eigentlich dieses IT-Unternehmen? Kommt irgendwie in den Presseberichten etc. nicht so janz rüber. Ist ja eigentlich auch egal.
Wen interessiert das schon? 

Der deutsche Wortschatz
Meinungsmonopol,das
https://www.dwds.de/wb/Meinungsmonopol

Bedeutungsübersicht:
1. Monopolstellung in Bezug auf die kollektive Meinung einer gesellschaftlichen Gruppe und das öffentliche Meinungsbild; Beherrschung der öffentlichen Meinung durch die Medien
2. [gelegentlich] Institution, die diese Monopolstellung, das Meinungsmonopol innehat

Wer das Meinungsmonopol hat, entscheidet auch darüber, welche Informationen veröffentlicht werden!
Na, ARD, ZDF, Deutschlandradio und Co. habt ihr irgendwie übersehen, waa? 
Naja, war ja nur ein "kleiner Datenschutzskandal" bei dem der ÖRR fast gar keine Rolle spielte.
Er muss ja auch kein Bußgeld bezahlen! Die Hand der Hand!
Alle Meldedatensätze in Österreich!
Tzzzz ......
Kann ja mal passieren!

Siehe auch:
Die Gefahr großer Datenbanken - Leaks von Bürger-Datenbanken
https://gez-boykott.de/Forum/index.php?topic=18182.0
https://gez-boykott.de/Forum/index.php/topic,18182.msg224634.html#msg224634


Die Inhalte dieser und weiterer Veröffentlichungen sowie auch die Grundhaltungen des Verfassers/ Veröffentlichungsmediums spiegeln nicht zwangsläufig die Meinung des gez-boykott-Forums, dessen Moderatoren und dessen Mitglieder wider und werden hiermit auch nicht zu eigen gemacht. Die Erwähnung/ Verlinkung/ Zitierung/ Diskussion erfolgt unter Berufung auf die Meinungsfreiheit gem. Artikel 5 Grundgesetz und zur Ermöglichung einer weitestgehend ungefilterten öffentlichen Meinungsbildung sowie zur Dokumentation.


Gesammelte Link-Auswahl zu diesem Thema:
[AT] ORF-Beitrags-Gesetz 2024
https://gez-boykott.de/Forum/index.php?topic=37660.0
[AT] allgem. Infos + mögl. Vorgehensweisen bzgl. neuem ORF-Beitrag ab 2024
https://gez-boykott.de/Forum/index.php?topic=37674.0

[AT] "Datenleck" Gebühren Info Service (GIS, Österreich) (2023)
https://gez-boykott.de/Forum/index.php?topic=37658.0

[AT] In Österreich sollen jetzt alle Haushalte für den ORF zahlen (07/2023)
https://gez-boykott.de/Forum/index.php?topic=37336.0
[AT] Beschwerde - Verleger schalten EU gg. ORF-Beitrag ein (06/2023)
https://gez-boykott.de/Forum/index.php?topic=37663.0
[AT] Österreich: Protest gg. "Haushaltsabgabe" - Alle Titelseiten heute weiß (05/2023)
https://gez-boykott.de/Forum/index.php?topic=37211.0
[AT] ORF-Beitrag sinkt auf 15€/Monat (wird aber nun pro "Haushalt" fällig) (03/2023)
https://gez-boykott.de/Forum/index.php?topic=37107.0
[AT] ORF soll 300 Millionen Euro sparen – ORF-Zwangssteuer kommt (02/2023)
https://gez-boykott.de/Forum/index.php?topic=37017.0
jedoch auch unter Berücksichtigung von
Anonymer Wohnen mit DSGVO: Wiener Mieter ohne Namensschilder (10/2018)
https://gez-boykott.de/Forum/index.php?topic=29003.0

Sowie tangierend/ übertragbar auf die "Haushaltsabgabe" auch in Österreich & Schweiz u.a. auch dies:
BDZV warnt - ARD/ZDF-Textangebote im Netz bedrohen die Presse existenziell (07/2023)
https://gez-boykott.de/Forum/index.php?topic=37327.0
Zeitungen: Im Würgegriff der ör Rundfunkanstalten (Abmahnungs-/Klagewelle?) (09/2022)
https://gez-boykott.de/Forum/index.php?topic=36481.0
BVerfG, Leipziger-Volkszeitung-Entscheid.: Informations-/Rezipientenfreiheit
https://gez-boykott.de/Forum/index.php?topic=36695.0
"prohibitiver Charakter" des Rundfunkbeitrags
https://gez-boykott.de/Forum/index.php?topic=11749.0
und dort jeweils weiterführende Links.



Daher auch für alle Österreicher...

...alles "gute" Gründe und Anlässe für
SEPA-Mandat/Lastschrift kündigen/rückbuchen, Zahlg. einstellen + Protestnote
https://gez-boykott.de/Forum/index.php?topic=35120.0

Außerdem...
An die Mitarbeiter des öffentlich-rechtlichen Rundfunks und GEZ/Beitragsservice
Tippgeber werden - zu Missständen im ö.r. Rundfunksystem!
https://gez-boykott.de/Forum/index.php/topic,19977.msg218516.html#msg218516

[pinguin]

Nun sind wir hier ja im gallischen Dorf und deshalb:
@pinguin, Bruder! Ick überlass ditt dann dir den Rest (EuGH C-807/21).

Ist schon thematisiert

Entscheidung nach einer Vorlage durch das Kammergericht Berlin
EuGH C-807/21 - DSGVO - Bußgeld b. Mißachtung gegen d. jur. Pers. verhängbar
https://gez-boykott.de/Forum/index.php?topic=37204.0

Es wurde vom EuGH klargestellt, daß es den Unionsländern untersagt ist, materielle Änderungen der DSGVO vorzunehmen, lediglich formelle Anpassungen sind zugestanden.

Konsolidierter Text: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR)
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504

Artikel 58
Befugnisse

(1)   Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

[...]

i)
eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

[...]

Artikel 83
Allgemeine Bedingungen für die Verhängung von Geldbußen

?C2
( 1 )   Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

?B
( 2 ) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder ?C2  anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. ? Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a)
Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b)
Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c)
jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d)
Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e)
etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f)
Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g)
Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h)
Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i)
Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k)
jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

( 3 )   Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

( 4 ) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a)
die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;

b)
die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;

c)
die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.

( 5 ) 
Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a)
die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b)
die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

c)
die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;

d)
alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;

e)
Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.

( 6 )   Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

( 7 )   Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.

( 8 )   Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.

( 9 )   Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften.

[Profät Di Abolo]

Guten TagX,

daaaanke @pinguin!

Rein fiktiv natürlich.

.... brumm ... klappper .... rassel ... rauch ... schepper ... quietsch ...
Ick fahr hier mal fiktiv durch den Thread!
Der Fortschritt iss nämlich beim Profäten eingezogen.
Er zieht jetzt nicht mehr mit einem Handwagen durchs Land, sondern mit einem alten Audi ohne beheizte Massagesitze.
Nein! Kein A8, sondern ein

A 1!

Querverweis:

Nicht realisierte Ausschreibungspflicht = fehl. Rechtsgrdl. f. Datenverarb.?
https://gez-boykott.de/Forum/index.php?topic=37659.0