Rz. 4
Laut Erwägungsgrund (EG) 150 DSGVO sollte jede Aufsichtsbehörde befugt sein Geldbußen zu verhängen, um "die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen".
Dem folgt Art. 83 Abs. 1 DSGVO, der im Interesse einer konsequenteren Durchsetzung der DSGVO jeder Aufsichtsbehörde die Verhängung von Geldbußen für Verstöße gegen Art. 83 Abs. 5 und 6 DSGVO ermöglicht.
Damit stehen der Aufsichtsbehörde, gemeint ist die nationale für die Kontrolle des Datenschutzes zuständige Behörde gemäß Art. 51 DSGVO, zusätzlich zu den geeigneten Maßnahmen nach der DSGVO oder anstelle solcher Maßnahmen (vgl. die Komm. zu § 81) weitere Sanktionsmöglichkeiten einschließlich der Verhängung von Geldbußen zur Verfügung.
Rz. 5
Das Bußgeld- und Strafverfahren selbst wird in der DSGVO nicht geregelt. An den bisherigen Grundzügen des datenschutzrechtlichen Bußgeld- und Strafverfahrens wird festgehalten, da insbesondere Art. 83 Abs. 8 DSGVO ausdrücklich fordert, dass die Mitgliedstaaten angemessene Verfahrensgarantien vorsehen.
2.1.1 Verstöße i. S. v. Art. 83 Abs. 4 DSGVO
Rz. 6
Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 10 Mio. EUR verhängt:
- die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß Art. 8, 11, 25 bis 39, 42 und 43 DSGVO (vgl. die Komm. zu § 35 SGB I und die Komm. zu § 80);
- die Pflichten der Zertifizierungsstelle gemäß Art. 42 und 43 DSGVO (vgl. die Komm. zu § 78c);
- die Pflichten der Überwachungsstelle gemäß Art. 41 Abs. 4 DSGVO.
2.1.2 Verstöße i. S. v. Art. 83 Abs. 5 DSGVO
Rz. 7
Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 20 Mio. EUR verhängt:
- die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß Art. 5, 6, 7 und 9 DSGVO; Ausführungen hierzu finden sich in der Kommentierung zu § 35 SGB I und der Kommentierung zu § 67b;
- die Rechte der betroffenen Person gemäß Art. 12 bis 22 DSGVO, vgl. die Komm. zu §§ 82 bis 84;
- die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß Art. 44 bis 49 DSGVO (vgl. die Komm. zu § 77);
- alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX (Art. 85 bis 91 DSGVO) erlassen wurden (die Komm. zu § 75 enthält entsprechende Ausführungen zu Art. 89 DSGVO);
- Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 1 DSGVO (vgl. die Komm. zu § 81).
2.1.3 Verstöße i. S. v. Art. 83 Abs. 6 DSGVO
Rz. 8
Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO (vgl. die Komm. zu § 81) werden Geldbußen von bis zu 20 Mio. EUR verhängt.