Rz. 3
§ 85a Abs. 1 enthält keinen eigenen Regelungsinhalt, sondern verweist nur auf § 41 BDSG und erreicht damit, dass das Gesetz über Ordnungswidrigkeiten und die allgemeinen Gesetze über das Strafverfahren, namentlich die Strafprozessordnung und das Gerichtsverfassungsgesetz auch auf Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO Anwendung finden (Rz. 6 bis 8).
Da Betriebs- und Geschäftsgeheimnisse in § 35 Abs. 4 SGB I den Sozialdaten gleichgestellt werden (vgl. die dortige Komm. Rz. 11 bis 13), gilt Art. 83 DSGVO für sie entsprechend.
Abs. 2 setzt das verfassungsrechtliche Verbot einer Selbstbezichtigung um (Rz. 15).
Abs. 3 nimmt Behörden und sonstige öffentliche Stellen von Bußgeldern aus (Rz. 16).
2.1 Verstöße nach Art. 83 DSGVO
Rz. 4
Laut Erwägungsgrund (EG) 150 DSGVO sollte jede Aufsichtsbehörde befugt sein Geldbußen zu verhängen, um "die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen".
Dem folgt Art. 83 Abs. 1 DSGVO, der im Interesse einer konsequenteren Durchsetzung der DSGVO jeder Aufsichtsbehörde die Verhängung von Geldbußen für Verstöße gegen Art. 83 Abs. 5 und 6 DSGVO ermöglicht.
Damit stehen der Aufsichtsbehörde, gemeint ist die nationale für die Kontrolle des Datenschutzes zuständige Behörde gemäß Art. 51 DSGVO, zusätzlich zu den geeigneten Maßnahmen nach der DSGVO oder anstelle solcher Maßnahmen (vgl. die Komm. zu § 81) weitere Sanktionsmöglichkeiten einschließlich der Verhängung von Geldbußen zur Verfügung.
Rz. 5
Das Bußgeld- und Strafverfahren selbst wird in der DSGVO nicht geregelt. An den bisherigen Grundzügen des datenschutzrechtlichen Bußgeld- und Strafverfahrens wird festgehalten, da insbesondere Art. 83 Abs. 8 DSGVO ausdrücklich fordert, dass die Mitgliedstaaten angemessene Verfahrensgarantien vorsehen.
2.1.1 Verstöße i. S. v. Art. 83 Abs. 4 DSGVO
Rz. 6
Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 10 Mio. EUR verhängt:
- die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß Art. 8, 11, 25 bis 39, 42 und 43 DSGVO (vgl. die Komm. zu § 35 SGB I und die Komm. zu § 80);
- die Pflichten der Zertifizierungsstelle gemäß Art. 42 und 43 DSGVO (vgl. die Komm. zu § 78c);
- die Pflichten der Überwachungsstelle gemäß Art. 41 Abs. 4 DSGVO.
2.1.2 Verstöße i. S. v. Art. 83 Abs. 5 DSGVO
Rz. 7
Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 20 Mio. EUR verhängt:
- die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß Art. 5, 6, 7 und 9 DSGVO; Ausführungen hierzu finden sich in der Kommentierung zu § 35 SGB I und der Kommentierung zu § 67b;
- die Rechte der betroffenen Person gemäß Art. 12 bis 22 DSGVO, vgl. die Komm. zu §§ 82 bis 84;
- die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß Art. 44 bis 49 DSGVO (vgl. die Komm. zu § 77);
- alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX (Art. 85 bis 91 DSGVO) erlassen wurden (die Komm. zu § 75 enthält entsprechende Ausführungen zu Art. 89 DSGVO);
- Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 1 DSGVO (vgl. die Komm. zu § 81).
2.1.3 Verstöße i. S. v. Art. 83 Abs. 6 DSGVO
Rz. 8
Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO (vgl. die Komm. zu § 81) werden Geldbußen von bis zu 20 Mio. EUR verhängt.
2.2 Anwendung von § 41 BDSG (§ 85a Abs. 1)
Rz. 9
Nach § 85a Abs. 1 gilt für Sozialdaten § 41 BDSG.
2.2.1 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
Rz. 10
Nach § 41 Abs. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO (Rz. 6 bis 8) die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß.
§ 41 BDSG geht davon aus, dass von den in Art. 83 Abs. 4 und 5 DSGVO genannten "Verstößen gegen die folgenden Bestimmungen" auch dann gesprochen werden kann, wenn die Mitgliedstaaten nationale Regelungen aufgrund von Öffnungsklauseln erlassen haben. Dass „Verstöße gegen diese Verordnung“ auch Verstöße gegen solche nationalen Bestimmungen erfasst, ergibt sich ausdrücklich im Bereich des Schadensersatzes aus EG 146 DSGVO und im Bereich der Strafvorschriften aus EG 149 DSGVO (BT-Drs. 18/11325).
Rz. 11
Die §§ 17, 35 und 36 OWiG finden ausdrücklich keine Anwendung (§ 41 Abs. 1 Satz 2 BDSG). § 17 OWiG kommt nicht zur Anwendung, da die DSGVO die Bußgeldhöhe abschließend regelt. §§ 35 und 36 OWiG werden nicht angewendet, da sich bereits aus Art. 83 DSGVO ergibt, dass die Aufsichtsbehörden für die Verhängung von Geldbußen zuständig sind (BT-Drs. 18/11325).
Rz. 12
Die DSGVO selbst regelt das Bußgeld- und Strafverfahren nicht, sondern fordert insbesondere mit Art. 83 Abs. 8 DSGVO ausdrücklich, dass die Mitgliedstaaten angemessene Verfahrensgarantien vorsehen. Um an den bisherigen Grundzügen des datenschutzrechtlichen Bußgeld- und Strafverfahrens festhalten zu können, wird über § 41 Abs. 2 Satz 1 BDSG geregelt, dass die Vorschriften des...