Die DSGVO sieht ein abgestuftes Bußgeldsystem vor. Bußgelder müßen wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO).
Stufe 1 - bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO):
- Verstöße gegen TOM-Pflichten (Art. 32)
- Verstöße gegen die Verzeichnispflicht (Art. 30)
- Verstöße gegen die DSB-Bestellungspflicht (Art. 37)
- Verstöße gegen die AV-Vertragspflicht (Art. 28)
- Verstöße gegen die Meldepflicht bei Datenpannen (Art. 33)
Stufe 2 - bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO):
- Verstöße gegen Verarbeitungsgrundsätze (Art. 5)
- Verarbeitung ohne Rechtsgrundlage (Art. 6)
- Verstöße gegen Einwilligungsanforderungen (Art. 7)
- Verstöße gegen Betroffenenrechte (Art. 15-22)
- Verstöße gegen Informationspflichten (Art. 13-14)
- Missachtung von Aufsichtsanweisungen
TDDDG-Bußgelder: Cookie-Verstöße (Paragraph 25 TDDDG): bis zu 300.000 EUR (Paragraph 28 Abs. 2 TDDDG). Diese kommen zusätzlich zu DSGVO-Bußgeldern.
Strafrechtliche Sanktionen (Paragraph 42 BDSG): Gewerbsmäßige unbefugte Offenlegung von Daten: bis zu 3 Jahre Freiheitsstrafe. Unbefugte Verarbeitung gegen Entgelt: bis zu 2 Jahre.
Erweiterter Unternehmensbegriff: Der kartellrechtliche funktionale Unternehmensbegriff gilt (EG 150 DSGVO) - der Gesamtumsatz des Konzerns ist relevant, nicht nur der Umsatz der Einzelgesellschaft.
Zumessungskriterien (Art. 83 Abs. 2 DSGVO): Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrläßigkeit, ergriffene Minderungsmassnahmen, Vorgeschichte, Zusammenarbeit mit Aufsichtsbehörde, Art der betroffenen Daten, finanzielle Vorteile.