Sanktionsumfang bei Verstößen gegen die DSGVO

Bußgelder für Datenschutzverstöße sind keine Neuerfindung. Die bis zum 25. Mai 2018 gehandhabte Verfolgungspraxis von Datenschutzverstößen war aber eher zurückhaltender Natur. Wesentliche Zielsetzung der DSGVO war u.a. die konsequente Durchsetzung des bestehenden Rechts.

Sanktionsumfang bei Verstößen gegen die DSGVO

In diesem Zusammenhang wurde nicht nur der mögliche Bußgeldrahmen erhöht. Es wurden auch bußgeldsanktionierte Handlungspflichten erweitert, was letztlich – auch wenn die Bußgelderhöhung in aller Munde war und ist – gravierender für Verantwortliche ist.

Beispiele neuer bußgeldbewehrter Pflichten:

  • Verstoß gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO ist bußgeldbewehrt
  • Verstoß gegen die Pflicht zur Organisation der Erfüllung der Rechte Betroffener gemäß Art. 12 DSGVO ist bußgeldbewehrt
  • Verstoß gegen die Pflicht zur Führung eines Verarbeitungsverzeichnisses gemäß Art. 30 Abs. 2 DSGVO ist bußgeldbewehrt

In der DSGVO finden sich in den Art. 83 bußgeldbewehrte Verhaltensweisen. Die Abs. 4 bis 6 des Art. 83 DSGVO unterscheiden hierbei zwischen Verstößen gegen die Bestimmungen der DSGVO und gegen Anordnungen der Aufsichtsbehörde. Gegenüber der überholten Rechtslage wurde der Bußgeldrahmen der DSGVO um das 60-fache erhöht. Es können Geldbußen von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem welcher der Beträge höher ist.

Zudem regelt die DSGVO in Art. 58 Abs. 2 DSGVO sog. Abhilfemaßnahmen. Dies sind Befugnisse der Aufsichtsbehörden wie Verwarnungen, Anweisungen, Beschränkungen, Widerrufsmöglichkeiten oder Verbote.

Gemäß Art. 58 Abs. 2 lit. i DSGVO kann die Aufsichtsbehörde Maßnahmen und Geldbußen getrennt voneinander oder zusammen anordnen.

Die Öffnungsklausel des Art. 84 Abs. 1 DSGVO enthält einen Regelungsauftrag an die Mitgliedstaaten, Verstöße gegen die DSGVO zu sanktionieren. Der deutsche Gesetzgeber hat mit Kapitel 5 des zweiten Teils des BDSG von dieser Öffnungsklausel Gebrauch gemacht, indem er die §§ 41 bis 43 implementiert hat. In § 41 BDSG regelte er den rechtlichen Rahmen von Straf- und Bußgeldverfahren durch Verweise auf das OWiG sowie auf die StPO und das GVG. Die §§ 42 und 43 BDSG enthalten Straf- und Bußgeldvorschriften.

In § 42 BDSG werden vorsätzliche Verstöße gegen Bestimmungen der DSGVO unter Strafe gestellt, die dadurch als strafwürdig qualifiziert werden, dass sie gewerbsmäßig (Abs. 1) oder entgeltlich oder mit Schädigungsabsicht (Abs. 2) begangen werden.

Dr. Werner, Fachanwalt für IT-Recht und Datenschutzbeauftragter (TÜV)

Dr. Dennis Werner

Fachanwalt für IT-Recht
TÜV-zertifizierter Datenschutz­beauftragter

TÜV-Siegel als externer Datenschutzbeauftragter Dr. Dennis Werner

Fragen zum Datenschutz?

Schreiben Sie uns
info@jurando.de

Mehr zum Thema Datenschutz