Die DSGVO hat ein zweistufiges Bußgeldsystem eingeführt, das gegenüber der früheren Rechtslage eine massive Verschärfung darstellt. Die Bußgelder müßen wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO).
Stufe 1 - bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO):
Gilt für Verstöße gegen:
- Pflichten des Verantwortlichen und Auftragsverarbeiters (Art. 8, 11, 25-39)
- Pflichten der Zertifizierungsstelle (Art. 42, 43)
- Pflichten der Überwachungsstelle (Art. 41 Abs. 4)
Typische Fälle: Fehlendes Verzeichnis der Verarbeitungstätigkeiten, mangelhafte technische und organisatorische Maßnahmen, kein Datenschutzbeauftragter trotz Pflicht, fehlende Auftragsverarbeitungsverträge.
Stufe 2 - bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO):
Gilt für Verstöße gegen:
- Verarbeitungsgrundsätze (Art. 5-7, 9) - z.B. fehlende Rechtsgrundlage, Verstoß gegen Zweckbindung
- Betroffenenrechte (Art. 12-22) - z.B. Nichtbeantwortung von Auskunftsanfragen
- Drittlandtransfers (Art. 44-49)
- Mitgliedstaatliche Sondervorschriften (Kapitel IX)
- Nichtbefolgung von Anweisungen der Aufsichtsbehörde (Art. 83 Abs. 6)
Entscheidend: Es gilt jeweils der HÖHERE Betrag als Obergrenze.
Bei einem Unternehmen mit 500 Mio. EUR Jahresumsatz beträgt die theoretische Höchstbusse für Stufe 2 also 20 Mio. EUR (4% von 500 Mio. = 20 Mio. = gleich hoch). Bei einem Unternehmen mit 1 Mrd. EUR Umsatz wären es bereits 40 Mio. EUR.
Erweiterter Unternehmensbegriff (ErwGr. 150):
Für die Berechnung des Jahresumsatzes wird der kartellrechtliche funktionale Unternehmensbegriff herangezogen. Das bedeutet: Mutter- und Tochtergesellschaften werden als wirtschaftliche Einheit betrachtet - der Konzernumsatz ist maßgeblich.
Verfahrensrecht in Deutschland (Paragraph 41 BDSG):
Für Bußgeldverfahren gelten die Vorschriften des OWiG sinngemäß, allerdings ohne die Bußgeldobergrenzen des Paragraph 17 OWiG. Das bedeutet, dass die DSGVO-Höchstbeträge unmittelbar gelten.