Mit welchen Bußgeldern ist bei Verstößen gegen die DSGVO zu rechnen?

Im Vergleich zum Bundesdatenschutzgesetz enthält die DSGVO einen deutlich umfangreicheren Bußgeldkatalog. Dieser sieht vor, dass grundsätzlich jede Pflichtverletzung, also jede unzureichende organisatorische und technische Maßnahme zum Schutz von personenbezogenen Daten, seitens der Verantwortlichen oder der Auftragsverarbeiter bußgeldbewehrt ist. Artikel 83 Abs. 1 verdeutlicht, dass Bußgelder nicht mehr aus der Portokasse bezahlt werden können und „abschreckend“ sein sollen. Die Bußgeldhöhe richtet sich gemäß DSGVO nach einem zweistufigen System:

• „Einfachere“ Verstöße können zu einem Bußgeld von bis zu 10 Mio. Euro bzw. in Höhe von bis zu zwei Prozent des gesamten und weltweit erwirtschafteten Jahresumsatzes des vorangegangenen Geschäftsjahres führen, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4).
• Bei schwerwiegenderen Verstößen und bei Nichtbefolgung einer Anweisung der nationalen Aufsichtsbehörde ist ein Bußgeld von bis zu 20 Mio. Euro oder in Höhe von bis zu vier Prozent des weltweit erzielten Jahresumsatzes möglich (Art. 83 Abs. 5 und 6). Dies geschieht hier ebenfalls in Abhängigkeit von der jeweiligen Höhe des Betrags.

Hinsichtlich der Festlegung des Umsatzes gilt für Konzerne, dass der gesamte Umsatz eines Konzerns bzw. einer Unternehmensgruppe maßgeblich ist. Außerdem ist gemäß § 17 Abs. 4 des Gesetzes über Ordnungswidrigkeiten (OWiG) eine Gewinnabschöpfung möglich, wobei die Geldbuße den wirtschaftlichen Vorteil, der aus dem Verstoß gezogen wurde, übersteigt. So kann das gesetzliche Höchstmaß, sofern es nicht ausreicht, überschritten werden. Diese Regelungen gelten jedoch nicht abschließend. Gemäß Artikel 84 obliegt es den Mitgliedsstaaten, weitere strafrechtliche Sanktionen und Vorschriften einzuführen, welche „wirksam, verhältnismäßig [und ebenfalls] abschreckend“ sein müssen.