Strafen und Bußgelder in der DS-GVO
Art. 79 legt fest, dass jede nationale Aufsichtsbehörde bei der Verhängung von Bußgeldern darauf zu achten hat, dass diese in jedem Einzelfall wirksam, verhältnismäßig und gleichzeitig abschreckend sind.
Lange wurde darüber diskutiert, in welcher Höhe Bußgelder in Zukunft ausgesprochen werden können. Abs. 3 legt eine Grenze von 10 Millionen € bzw. 2 % des weltweiten Jahresumsatzes eines Unternehmens für dort benannte Verstöße fest. Abs. 3a erhöht diese Grenze für Verletzungen von dort aufgezählten Pflichten auf 20 Millionen € bzw. 4 % des weltweiten Jahresumsatzes eines Unternehmens. Abs. 2a beinhaltet eine Liste an Faktoren, die bei der Verhängung des Bußgeldes durch die Behörde zu berücksichtigen sind und Einfluss auf dessen Höhe haben können. Hierzu gehört etwa die Art und Schwere des Verstoßes, ob eine fahrlässige oder vorsätzliche Handlung zu dem Verstoß führte und auch, ob bereits zuvor gegen Vorgaben der DS-GVO verstoßen wurde.
Interessant ist, dass Verstöße gegen Art. 22 der DS-GVO anscheinend nicht bußgeldbewehrt sind. Art. 22 beschreibt allgemein die Verpflichtung des für die Verarbeitung Verantwortlichen technische und organisatorische Maßnahmen einzusetzen um sicherzustellen und nachweisen zu können, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DS-GVO erfolgt. Bei Art. 22 handelt es sich also nicht um technische und organisatorische Maßnahmen die der Datensicherheit dienen sollen. Vielmehr geht es um solche Maßnahmen die allgemein dazu dienen, die Vorgaben der Verordnung einzuhalten. Ein Verstoß hiergegen ist also nicht bußgeldbewehrt.
Hinzuweisen ist noch darauf, dass die höchsten Bußgelder etwa für Verstöße gegen die Vorgaben zur wirksamen Einholung einer Einwilligung oder auch zur Einhaltung der Vorgaben für die Verarbeitung personenbezogener Daten auf der Grundlage eines Vertrages oder auf der Grundlage berechtigter Interessen ausgesprochen werden können. Hiervon auch umfasst sind die Voraussetzungen für einen wirksamen Datentransfer in Drittstaaten.
Nach Abs. 3b bleibt es jedem Mitgliedstaat selbst überlassen, festzulegen, inwiefern Bußgelder auch gegen öffentliche Stellen verhängt werden können.
Mit Blick auf die Erfüllung von Straftatbeständen durch Verletzungen der Vorgaben der DS-GVO verweist diese in Art. 79b auf die nationalen Regelungen der Mitgliedstaaten. Diese müssen selbst festlegen, inwieweit ein bußgeldbewährtes Vergehen eventuell auch strafrechtliche Konsequenzen haben kann.