Die DSGVO sieht ein abgestuftes Bußgeldsystem vor, das zu den schärfsten weltweit gehört.
Zwei Bußgeldstufen
Stufe 1: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO) Gilt für Verstöße gegen:
- Pflichten des Verantwortlichen und Auftragsverarbeiters (Art. 8, 11, 25-39)
- Zertifizierungspflichten (Art. 42-43)
- Beispiele: Fehlendes Verarbeitungsverzeichnis, fehlender DSB, unzureichende TOM
Stufe 2: Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO) Gilt für Verstöße gegen:
- Verarbeitungsgrundsätze (Art. 5-7, 9)
- Betroffenenrechte (Art. 12-22)
- Drittlandtransfers (Art. 44-49)
- Nichtbefolgung von Aufsichtsanweisungen
- Beispiele: Verarbeitung ohne Rechtsgrundlage, Missachtung von Auskunftsrechten, Datentransfer ohne SCCs
Es gilt jeweils der HÖHERE Betrag. Bei Konzernen zählt der Gesamtumsatz der wirtschaftlichen Einheit (erweiterter Unternehmensbegriff, EG 150 DSGVO).
11 Bemessungskriterien (Art. 83 Abs. 2 DSGVO)
Die Höhe des Bußgeldes wird nach 11 Kriterien bestimmt: Art und Schwere des Verstoßes, Vorsatz oder Fahrläßigkeit, Schadenminderung, Verantwortungsgrad (TOM), frühere Verstöße, Kooperationsbereitschaft, betroffene Datenkategorien, Art der Kenntniserlangung, Einhaltung früherer Maßnahmen, Verhaltensregeln/Zertifizierung und sonstige Umstände.
Zusätzlich: Strafrechtliche Sanktionen nach BDSG
Paragraph 42 BDSG sieht Freiheitsstrafen bis zu drei Jahren vor bei wissentlich unbefugter Datenverarbeitung gegen Entgelt oder in Bereicherungs-/Schädigungsabsicht. Paragraph 43 BDSG regelt Ordnungswidrigkeiten.
Weitere Rechtsfolgen
Neben Bußgeldern drohen: Schadenersatzansprüche (Art. 82 DSGVO, auch immaterieller Schaden), Verarbeitungsverbote durch die Aufsichtsbehörde und Reputationsschäden.