Sanktionen bei Datenschutzverstößen / 2.1 Geldbußen (Art. 83 DSGVO)

Verstöße gegen die Datenschutz-Grundverordnung können mit Geldbußen geahndet werden. Gemäß Art. 55 DSGVO ist jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. In Deutschland entscheiden also die deutschen Aufsichtsbehörden über die Verhängung von Geldbußen und ggf. weiterer Sanktionen. Aufgrund des föderalen Aufbaus sind dies die jeweiligen Aufsichtsbehörden der Länder.

Die Höhe der Sanktionen ist nach der Schwere des begangenen Verstoßes zu bestimmen.

2.1.1 Sanktionen nach Art. 83 Abs. 4 DSGVO

Es können Geldbußen in Höhe von bis zu 10 Mio. EUR bzw. bei Unternehmen bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (Art. 83 Abs. 4 DSGVO), wobei der jeweils höhere Betrag als maximale Buße verhängt werden kann.

Mögliche Verstöße, die mit einem Bußgeld geahndet werden können, sind z. B.:

• unzulässige Weitergabe personenbezogener Daten,
• unzulässige Speicherung personenbezogener Daten,
• Verstoß gegen die Regelungen der Auftragsverarbeitung (Art. 28 und 29 DSGVO),
• fehlendes oder fehlerhaftes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO),
• unzureichende technische und organisatorische Maßnahmen (Sicherheit der Verarbeitung, Art. 32 DSGVO),
• keine oder zu späte Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO),
• keine oder verspätete Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen (Art. 34 DSGVO),
• fehlende oder fehlerhafte Benennung eines Datenschutzbeauftragten, sofern eine Pflicht zur Benennung besteht (Art. 37 bis 39 DSGVO).

2.1.2 Schwerwiegende Verstöße nach Art. 83 Abs. 5 und Abs. 6 DSGVO

Bei besonders schwerwiegenden Verstößen, darunter Verstöße gegen die Datenverarbeitungsgrundsätze und gegen die Betroffenenrechte oder im Fall einer Verarbeitung ohne Rechtsgrundlage, sind Geldbußen in Höh...