I. Grundlegendes zur Bemessung
Rz. 28
Nach Art. 83 Abs. 1 DSGVO sollen für Verstöße gegen die Verordnung Geldbußen durch die Aufsichtsbehörden verhängt werden. Lediglich im Falle eines geringfügigeren Verstoßes oder, falls eine voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden.
Rz. 29
Die Bußgelder sind im Rahmen des Bußgeldrahmens so zu festzulegen, dass sie sich in jedem Einzelfall als wirksam, verhältnismäßig und abschreckend darstellen. Insbesondere die "Abschreckungswirkung" ist dem deutschen Recht eher fremd. Sie führt jedoch dazu, dass eine besonders hohe Geldbuße geboten sein kann, um andere potentielle "Täter" von gleichartigen Verstößen abzuhalten und eine möglichst breite allgemeine Aufmerksamkeit gegenüber der Allgemeinheit zu erlangen. Die Höhe der im Einzelfall zu bestimmenden Geldbuße liegt im (gerichtlich überprüfbaren) Ermessen der zuständigen Aufsichtsbehörde.
Rz. 30
Art. 83 Abs. 2 DSGVO enthält eine nicht abschließende Aufzählung von mildernden und verschärfenden Strafzumessungsgründen, die aus sich heraus weitgehend selbsterklärend sind. Art. 83 Abs. 3 DSGVO enthält eine Regelung zur Kumulation von Geldbußen bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen und schreibt vor, dass in einem solchen Fall der Gesamtbetrag der Geldbuße nicht den Betrag, der für den schwerwiegendsten Verstoß festzusetzen wäre, übersteigen darf.
II. Bußgeldrahmen
Rz. 31
Der Bußgeldrahmen bewegt sich bei Verstößen gegen die Bestimmungen in
▪ |
Art. 8, |
▪ |
Art. 11, |
▪ |
Art. 25 bis 39, |
▪ |
Art. 42, |
▪ |
Art. 43 |
in einem Rahmen von bis zu 10.000.000 EUR. Im Fall eines Unternehmens kann eine Geldbuße von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 4 DSGVO).
Rz. 32
Bei Verstößen gegen
▪ |
Art. 5 bis 7, |
▪ |
Art. 9, |
▪ |
Art. 12 bis 22, |
▪ |
Art. 44 bis 49 |
▪ |
sowie bei Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Abs. 2 DSGVO oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Abs. 1 DSGVO |
beläuft sich der Bußgeldrahmen auf einen Betrag von bis zu 20.000.000 EUR. Im Fall eines Unternehmens kann eine Geldbuße von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 und 6 DSGVO).
Rz. 33
Hinsichtlich des Unternehmensbegriffs ist auf die Regelungen in Art. 101 und 102 AEUV, also die kartellrechtlichen Grundsätze, abzustellen. Hier gilt zwar grundsätzlich das sog. Selbstständigkeitspostulat, jedoch hat ist der EuGH in der Vergangenheit vermehrt dazu übergegangen Kartellverstöße des abhängigen Unternehmens auf die herrschende Gesellschaft zu übertragen und kartellrechtswidrige Handlungen entsprechend zuzurechnen. Dies insbesondere dort, wo die Tochtergesellschaft zu keiner eigenständigen Geschäftspolitik in der Lage ist, sondern dem Weisungsrecht der Mutter unterliegt und die Unternehmen eine wirtschaftliche Einheit bilden. Der Begriff des Unternehmens ist in diesem Sinne also nicht mit dem eines Rechtsträgers (= natürliche oder juristische Person) gleichzusetzen.
III. Rechtsbehelfe
Rz. 34
Für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO gelten gem. § 41 BDSG-Neu die Vorschriften des Gesetzes über Ordnungswidrigkeiten sinngemäß. Die §§ 17, 35 und 36 des Gesetzes über Ordnungswidrigkeiten finden keine Anwendung.
Rz. 35
Die Vorschriften der allgemeinen Gesetze über das Strafverfahren, namentlich der Strafprozessordnung und des Gerichtsverfassungsgesetzes, gelten entsprechend (§ 41 Abs. 2 BDSG-Neu). Die §§ 56 bis 58, 87, 88, 99 und 100 des Gesetzes über Ordnungswidrigkeiten finden keine Anwendung. § 69 Abs. 4 S. 2 des Gesetzes über Ordnungswidrigkeiten finden mit der Maßgabe Anwendung, dass die Staatsanwaltschaft das Verfahren nur mit Zustimmung der Aufsichtsbehörde, die den Bußgeldbescheid erlassen hat, einstellen kann.
Rz. 36
Zuständig ist die ordentliche Gerichtsbarkeit.
IV. Adressaten – Organhaftung?
Rz. 37
Eine direkte Organhaftung sieht die DSGVO nicht vor, so dass neben der verantwortlichen Stelle (dem Unternehmen) nicht auch ihre Organe für Datenschutzverstöße einzustehen haben. Gleichwohl sind in der jüngeren Vergangenheit im Rahmen kartellrechtlicher Auseinandersetzu...