Die nationalen Aufsichtsbehörden können oder müssen nach der Datenschutz-Grundverordnung Bußgelder für bestimmte Datenschutzverstöße verhängen. Die Bußgelder werden zusätzlich oder anstelle von weiteren Bei- oder Abhilfebefugnissen, wie etwa der Anordnung zur Beendigung des Verstoßes, eine Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen sowie der Ausspruch eines zeitlich begrenzten oder endgültigen Verbots der Datenverarbeitung, auferlegt. Bei für den Auftragsverarbeiter relevanten Bestimmungen kann dieser auch direkt und/oder neben dem Verantwortlichen mit Sanktionen belegt werden.
Die Bußgelder müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Bei der Entscheidung, ob und in welcher Höhe Sanktionen verhängt werden, steht den Aufsichtsbehörden ein gesetzlicher Kriterienkatalog zur Verfügung, dessen Punkte in die Entscheidung mit einfließen müssen. Straferhöhend wirken dabei unter anderem die Vorsätzlichkeit des Verstoßes, ein Versäumnis Maßnahmen zur Minderung des entstandenen Schadens zu ergreifen oder eine fehlende Zusammenarbeit mit der Aufsichtsbehörde. Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Aber auch der Katalog von weniger gewichtigen Verstößen (Art. 83 Abs. 4) führt Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an, je nachdem, welcher der Beträge höher ist. Besonders wichtig hierbei ist, dass der hier verwendete Begriff „Unternehmen“ dem in Art. 101 und 102 AEUV gleichsteht. Nach ständiger Rechtsprechung des EuGH ist nach dem weiten, funktionalen Unternehmensbegriff ein Unternehmen jede, eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Diese wirtschaftliche Einheit kann dabei nicht nur aus einem einzelnen Unternehmen i.S.e. Rechtssubjekts, sondern aus mehreren, natürlichen oder juristischen Personen bestehen. Damit kann ein ganzer Konzern als ein Unternehmen behandelt werden. Für die Berechnung der Bußgelder bildet dann der gesamte Konzernumsatz den für die Berechnung eines Bußgelds maßgeblichen Unternehmensumsatz. Darüber hinaus haben die Mitgliedsstaaten Vorschriften über Sanktionen bei anderen Verstößen gegen die Grundverordnung festzulegen. Dies gilt insbesondere für solche Verstöße, die nicht bereits mit einer Geldbuße belegt sind. Dabei ist ebenfalls darauf zu achten, dass diese ebenfalls wirksam, verhältnismäßig und abschreckend sind.
Ein ahndungswürdiger Sachverhalt im Unternehmen kann durch proaktive Überprüfungstätigkeit der Aufsichtsbehörden, durch einen unzufriedenen Mitarbeiter, der sich bei der Aufsichtsbehörde beschwert oder durch Kunden bzw. potentielle Kunden, die eine Meldung bei der Aufsichtsbehörde machen, durch Selbstanzeige des Unternehmens oder durch die Presse im Allgemeinen, insbesondere auch Investigativ-Journalismus zu Tage gefördert werden.
Passende Artikel der DSGVO
Art. 58 DSGVO Befugnisse Art. 70 DSGVO Aufgaben des Ausschusses Art. 83 DSGVO Allgemeine Bedingungen für die Verhängung von Geldbußen Art. 84 DSGVO Sanktionen
Passende Erwägungsgründe
(148) Sanktionen (149) Sanktionen für Verstöße gegen nationale Vorschriften (150) Geldbußen (151) Geldbußenregelung in Dänemark und Estland (152) Sanktionsbefugnis der Mitgliedsstaaten
Passende Paragraphen des BDSG
§ 16 BDSG Befugnisse § 40 BDSG Aufsichtsbehörden der Länder § 41 BDSG Anwendung der Vorschriften über das Bußgeld- und Strafverfahren § 42 BDSG Strafvorschriften § 43 BDSG Bußgeldvorschriften
Externe Links
Behörden
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 2 – Aufsichtsbefugnisse / Sanktionen (Link)
- Datenschutzbehörde Bayern ► Sanktionen nach der DS-GVO (Link)
- Datenschutzbehörde Berlin ► Aufsicht und Kontrolle in der DS-GVO (Link)
- Datenschutzbehörde Nordrhein-Westfalen ► Welche Sanktionen und Durchsetzungsmöglichkeiten gibt es nach der DS-GVO? (Link)
- Die Bundesdatenschutzbeauftragte ► BfDI-Info 6 – Sanktionen, Seite 17 (Link)
- Datenschutzbehörde Österreich ► Datenschutz-Grundverordnung Leitfaden – Welche Geldbußen kann die Aufsichtsbehörde verhängen und wofür?, Seite 37 (Link)
- EU-Kommission ► Durchsetzung und Sanktionen (Link)
- Article 29 Data Protection Working Party ► WP 253 – Guidelines on the application and setting of administrative fines (Link)
- Data Protection Authority Isle of Man ► Fines, penalties and sanctions (Link)
Fachbeiträge
Antworten