Die Frage der Bußgeldfähigkeit von Vereinen und Behörden wird unterschiedlich beantwortet.
Vereine:
Ja, Vereine können nach Art. 83 DSGVO mit Bußgeldern belegt werden. Sie sind als juristische Personen (eingetragene Vereine) oder Personenvereinigungen nichtöffentliche Stellen im Sinne des BDSG und unterliegen den Bußgeldvorschriften der DSGVO. Die Berechnung orientiert sich am Vereinsumsatz (z.B. Mitgliedsbeiträge, Sponsorengelder, Einnahmen). Auch für kleine Vereine gilt die DSGVO vollumfänglich.
Öffentliche Stellen - die deutsche Sonderregelung:
Art. 83 Abs. 7 DSGVO überlasst es den Mitgliedstaaten, ob und inwieweit Bußgelder gegen Behörden und sonstige öffentliche Stellen verhängt werden können. Deutschland hat sich in Paragraph 43 Abs. 3 BDSG für eine Bußgeldbefreiung öffentlicher Stellen entschieden:
"Gegen Behörden und sonstige öffentliche Stellen im Sinne des Paragraph 2 Absatz 1 werden keine Geldbussen verhängt."
Das bedeutet: Bundesbehörden und Landesbehörden können in Deutschland nicht mit DSGVO-Bußgeldern belegt werden. Dies wird von Datenschützern und in der Literatur erheblich kritisiert, da es zu einer Ungleichbehandlung von öffentlichem und privatem Sektor führt.
Was die Aufsichtsbehörden stattdessen tun können:
Auch ohne Bußgelder stehen den Aufsichtsbehörden die übrigen Abhilfebefugnisse des Art. 58 Abs. 2 DSGVO zur Verfügung: Verwarnungen, Anordnungen, Verarbeitungsverbote. Zudem können Betroffene auch gegen Behörden Schadensersatz nach Art. 82 DSGVO geltend machen.
Kirchen:
Eine Sonderstellung nehmen Kirchen und religioese Vereinigungen ein (Art. 91 DSGVO). Sie dürfen eigene Datenschutzregeln anwenden und unterliegen eigenen Aufsichtsbehörden (z.B. das Katholische Datenschutzzentrum oder der Datenschutzbeauftragte der EKD).