Sanktionen bei Datenschutzverstößen / 2.1 Geldbußen (Art. 83 DSGVO)

Verstöße gegen die Datenschutz-Grundverordnung können mit Geldbußen geahndet werden. Gemäß Art. 55 DSGVO ist jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. In Deutschland entscheiden also die deutschen Aufsichtsbehörden über die Verhängung von Geldbußen und ggf. weiterer Sanktionen. Aufgrund des föderalen Aufbaus sind dies die jeweiligen Aufsichtsbehörden der Länder.

Die Höhe der Sanktionen ist nach der Schwere des begangenen Verstoßes zu bestimmen.

2.1.1 Sanktionen nach Art. 83 Abs. 4 DSGVO

Es können Geldbußen in Höhe von bis zu 10 Mio. EUR bzw. bei Unternehmen bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (Art. 83 Abs. 4 DSGVO), wobei der jeweils höhere Betrag als maximale Buße verhängt werden kann.

Mögliche Verstöße, die mit einem Bußgeld geahndet werden können, sind z. B.:

• unzulässige Weitergabe personenbezogener Daten,
• unzulässige Speicherung personenbezogener Daten,
• Verstoß gegen die Regelungen der Auftragsverarbeitung (Art. 28 und 29 DSGVO),
• fehlendes oder fehlerhaftes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO),
• unzureichende technische und organisatorische Maßnahmen (Sicherheit der Verarbeitung, Art. 32 DSGVO),
• keine oder zu späte Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO),
• keine oder verspätete Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen (Art. 34 DSGVO),
• fehlende oder fehlerhafte Benennung eines Datenschutzbeauftragten, sofern eine Pflicht zur Benennung besteht (Art. 37 bis 39 DSGVO).

2.1.2 Schwerwiegende Verstöße nach Art. 83 Abs. 5 und Abs. 6 DSGVO

Bei besonders schwerwiegenden Verstößen, darunter Verstöße gegen die Datenverarbeitungsgrundsätze und gegen die Betroffenenrechte oder im Fall einer Verarbeitung ohne Rechtsgrundlage, sind Geldbußen in Höhe von bis zu 20 Mio. EUR oder bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 5 DSGVO) möglich, wobei der jeweils höhere Betrag als maximale Buße verhängt werden kann.

Relevant sind u. a. Verstöße gegen folgende Regelungen:

• Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO),
• Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO),
• Bedingungen für die Einwilligung, keine ausreichende Dokumentation der Einwilligung (Art. 7 DSGVO),
• Verarbeitung besonderer Kategorien personenbezogener Daten, fehlende Einwilligung oder Erforderlichkeit der Verarbeitung (Art. 9 DSGVO).
• Verstöße gegen die Anweisungen der Aufsichtsbehörde (Art. 83 Abs. 5 lit. e)
• Zugangsverweigerung gegenüber der Aufsichtsbehörde (Art. 83 Abs. 5 lit. e)

• Verstöße gegen die Rechte der Betroffenen nach Art. 83 Abs. 5 lit. b DSGVO:

  • keine transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),
  • Verletzung der Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),
  • Verletzung der Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),
  • Verletzung der Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),
  • Verletzung des Rechts auf Berichtigung (Art. 16 DSGVO),
  • Verletzung des Rechts auf Löschung /"Recht auf Vergessenwerden" (Art. 17 DSGVO),
  • Verletzung des Rechts auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Verletzung der Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO),
  • Verletzung des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Verletzung des Widerspruchsrechts (Art. 21 DSGVO).

2.1.3 Bemessung der Bußgelder (Art. 83 DSGVO)

Bei der Bemessung der Bußgelder gilt der Grundsatz, dass die Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Art. 83 Abs. 2 Satz 2 lit. a bis k DSGVO enthält eine Liste von Kriterien, die bei der Entscheidung über die Verhängung und die Höhe eines Bußgeldes im Einzelfall berücksichtigt werden.

Bei der Bemessung müssen im Einzelnen berücksichtigt werden:

• Art, Schwere und Dauer des Verstoßes,
• Umfang oder Zweck der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens,
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes,
• die getroffenen Maßnahmen zur Minderung des entstandenen Schadens,
• Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen,
• etwaige frühere Verstöße,
• Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern,
• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind,
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Selbstanzeige,
• Einhaltung früher angeordneter Maßnahmen,
• Einhaltung von genehmigten Verhaltensregeln nach Art. 40 DSGVO oder genehmigten Zertifizierungsverfahren nach Art. 42 DSGVO,
• jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelb...