Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Gemäß Art. 83 Abs. 5 DSGVO können bei Verstößen gegen
Art. 83 Abs. 5 lit. a–e DSGVO
| a) | die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; |
| b) | die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; |
| c) | die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; |
| d) | alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; |
| e) | Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1 |
sogar Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Die auf den ersten Blick drakonischen Strafen relativieren sich: Artikel 83 Abs. 1 und 2 DSGVO normiert die Bedingungen für die Geldbußen im Einzelfall. Die Aufsichtsbehörden für Datenschutz haben die Geldbußen danach für jeden Einzelfall so festzusetzen, dass sie gem. Art. 83 Abs. 1 DSGVO „wirksam, verhältnismäßig und abschreckend“ sind.
Laut Art. 83 Abs. 2 DSGVO sind dabei zu berücksichtigen:
Art. 83 Abs. 2 lit. a–k DSGVO
| a) | Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; |
| b) | Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; |
| c) | jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; |
| d) | Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; |
| e) | etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; |
| f) | Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; |
| g) | Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; |
| h) | Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; |
| i) | Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, falls solche Maßnahmen angeordnet wurden; |
| j) | Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und |
| k) | jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. |
Sicherlich sind die festgesetzten Rechtsbehelfe und Sanktionen eine Verschärfung und „abschreckend“. Andererseits bieten sie genügend Spielraum für die Rechtsprechung. Bevor Unternehmen Bußgelder zu befürchten haben, gibt es eine Reihe von Benachrichtigungen und Prüfungen. Geldbußen sind nur der letzte Schritt.
Es bleibt in den nächsten Jahren der Gültigkeit der DSGVO abzuwarten, wie die Datenschutzaufsichtsbehörden mit diesem erweiterten Bußgeldrahmen und ihren damit einhergehenden Befugnissen umgehen werden.
Neu
Die DSK veröffentlichte am 14.10.2019 ein „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“[8]. Das Konzept ist nicht für grenzüberschreitende Fälle oder für andere Datenschutzaufsichtsbehörden der EU bindend. Ferner entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte.
Fußnoten:
Milkaite, Ingrida/Lievens, Eva: „Status quo regarding the child's article 8 GDPR age of consent for data processing across the EU“, auf: https://www.betterinternetforkids.eu/web/portal/practice/awareness/detail?articleId=3017751 (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://www.datenschutz-bayern.de/verwaltung/OH_Recht_auf_Auskunft.pdf (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/Guidelines/WP242_DataPortabilityDE.pdf (zuletzt aufgerufen am: 29.01.2020).
Vgl. Gola, Peter/Pötters, Stephan (u. a.): Handbuch Arbeitnehmerdatenschutz, Frechen: DATAKONTEXT 2016, Kap. 9 Ziff. 4.5.
Vgl. https://stiftungdatenschutz.org/fileadmin/Redaktion/Datenportabilitaet/kurzversion_studie_datenportabilitaet.pdf (zuletzt aufgerufen am: 20.01.2020).
