Bußgelder und Sanktionen
Das zweistufige Bußgeldsystem der DSGVO nach Art. 83 mit Beträgen von bis zu 20 Millionen Euro oder 4 % des globalen Jahresumsatzes — welche Faktoren die Höhe beeinflussen und welche weiteren Sanktionen drohen.
Die DSGVO führt ein zweistufiges Bußgeldsystem ein, das in Art. 83 festgelegt ist und eine erhebliche Abschreckungswirkung entfaltet. Es unterscheidet zwischen weniger schwerwiegenden Verstößen (Stufe 1) und besonders schwerwiegenden Verstößen (Stufe 2).
Stufe-1-Verstoesse
Bei Stufe-1-Verstößen (Art. 83 Abs. 4) können Bußgelder von bis zu 10 Millionen Euro oder — bei Unternehmen — bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist. Hierunter fallen insbesondere Verstöße gegen die Pflichten von Verantwortlichen und Auftragsverarbeitern (z. B. Datenschutz durch Technikgestaltung, Verzeichnis von Verarbeitungstätigkeiten, Bestellung eines Datenschutzbeauftragten).
Stufe-2-Verstoesse
Bei Stufe-2-Verstößen (Art. 83 Abs. 5) sind Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des globalen Jahresumsatzes möglich. Diese höhere Stufe gilt für Verstöße gegen die Grundsätze für die Datenverarbeitung (Art. 5), die Rechtsgrundlagen (Art. 6), die besonderen Kategorien (Art. 9 und 10), die Betroffenenrechte (Art. 17–22) sowie für unzulässige Drittlandübermittlungen.
Erwägungsgrund 148 zur DSGVO betont, dass Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Art. 83 Abs. 2 DSGVO listet die Kriterien auf, anhand derer die Höhe des Bußgelds bemessen wird: Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, getroffene Maßnahmen zur Schadensbegrenzung, Grad der Verantwortung, relevante frühere Verstöße, Kategorien der betroffenen Daten, Art und Weise der Kenntniserlangung durch die Behörde sowie Kooperation.
Weitere Massnahmen der Aufsichtsbehoerden
Neben Bußgeldern können Aufsichtsbehörden nach Art. 58 DSGVO weitere Maßnahmen ergreifen: Verwarnungen, Verweise, vorübergehende oder dauerhafte Verbote der Verarbeitung sowie Anordnungen zur Benachrichtigung Betroffener. Ergänzend können Betroffene nach Art. 82 DSGVO zivilrechtliche Schadensersatzansprüche geltend machen, was durch kollektive Verbraucherklagen an Bedeutung gewonnen hat.
Art. 84 DSGVO eröffnet den Mitgliedstaaten die Möglichkeit, für bestimmte Verstöße, die nicht unter Art. 83 fallen — insbesondere im Bereich der Berufsgeheimnisse und der Beschäftigtendaten — eigene Sanktionsregelungen zu erlassen. Deutschland hat davon im BDSG Gebrauch gemacht.