Sanktionsumfang bei Verstößen gegen die DSGVO
Bußgelder für Datenschutzverstöße sind keine Neuerfindung. Die bis zum 25. Mai 2018 gehandhabte Verfolgungspraxis von Datenschutzverstößen war aber eher zurückhaltender Natur. Wesentliche Zielsetzung der DSGVO war u.a. die konsequente Durchsetzung des bestehenden Rechts.
In diesem Zusammenhang wurde nicht nur der mögliche Bußgeldrahmen erhöht. Es wurden auch bußgeldsanktionierte
Handlungspflichten erweitert, was letztlich – auch wenn die Bußgelderhöhung in aller Munde war und ist –
gravierender für Verantwortliche ist.
Beispiele neuer bußgeldbewehrter Pflichten:
- Verstoß gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO ist bußgeldbewehrt
- Verstoß gegen die Pflicht zur Organisation der Erfüllung der Rechte Betroffener gemäß Art. 12 DSGVO ist bußgeldbewehrt
- Verstoß gegen die Pflicht zur Führung eines Verarbeitungsverzeichnisses gemäß Art. 30 Abs. 2 DSGVO ist bußgeldbewehrt
In der DSGVO finden sich in den Art. 83 bußgeldbewehrte Verhaltensweisen. Die Abs. 4 bis 6 des Art. 83 DSGVO
unterscheiden hierbei zwischen Verstößen gegen die Bestimmungen der DSGVO und gegen Anordnungen der
Aufsichtsbehörde. Gegenüber der überholten Rechtslage wurde der Bußgeldrahmen der DSGVO um das 60-fache erhöht. Es
können Geldbußen von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit
erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem welcher der Beträge höher
ist.
Zudem regelt die DSGVO in Art. 58 Abs. 2 DSGVO sog. Abhilfemaßnahmen. Dies sind Befugnisse der Aufsichtsbehörden wie
Verwarnungen, Anweisungen, Beschränkungen, Widerrufsmöglichkeiten oder Verbote.
Gemäß Art. 58 Abs. 2 lit. i DSGVO kann die Aufsichtsbehörde Maßnahmen und Geldbußen getrennt voneinander oder
zusammen anordnen.
Die Öffnungsklausel des Art. 84 Abs. 1 DSGVO enthält einen Regelungsauftrag an die Mitgliedstaaten, Verstöße gegen
die DSGVO zu sanktionieren. Der deutsche Gesetzgeber hat mit Kapitel 5 des zweiten Teils des BDSG von dieser
Öffnungsklausel Gebrauch gemacht, indem er die §§ 41 bis 43 implementiert hat. In § 41 BDSG regelte er den
rechtlichen Rahmen von Straf- und Bußgeldverfahren durch Verweise auf das OWiG sowie auf die StPO und das GVG. Die
§§ 42 und 43 BDSG enthalten Straf- und Bußgeldvorschriften.
In § 42 BDSG werden vorsätzliche Verstöße gegen Bestimmungen der DSGVO unter Strafe gestellt, die dadurch als
strafwürdig qualifiziert werden, dass sie gewerbsmäßig (Abs. 1) oder entgeltlich oder mit Schädigungsabsicht (Abs.
2) begangen werden.