1.2.1 Allgemeines
Rz. 4
Gegenüber dem bisher anwendbaren § 383a AO bzw. dem BDSG a. F. nimmt die EU-DSGVO im Hinblick auf die Sanktionsdrohung grundlegende und tiefgreifende Änderungen vor. So sah § 383a AO Geldbußen von 5 EUR bis 10.000 EUR vor und bei Verstößen gegen § 43 Abs. 1 BDSG a. F. war ein Bußgeld von bis zu 50.000 EUR bzw. bei Verstößen gegen § 43 Abs. 2 BDSG a. F. ein Bußgeld von bis zu 300.000 EUR möglich.
Die Höhe der für den jeweiligen Verstoß maximal möglichen Geldbuße wird nun durch die EU-DSGVO deutlich nach oben verschoben. So beträgt die Geldbuße bei Verletzung einer jeden der in Art. 83 Abs. 4 EU-DSGVO in Bezug genommenen Pflichten bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2 % des weltweit im Vorjahr erzielten Jahresumsatzes. Darüber hinaus wird für Verstöße gegen die in Art. 83 Abs. 5 und 6 EU-DSGVO genannten Pflichten die maximal zulässige Geldbuße auf bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4 % des weltweit im Vorjahr erzielten Jahresumsatzes verdoppelt. Dabei soll in den Abs. 4–6 jeweils der höhere Betrag maßgeblich sein.
Rz. 5
Gem. Artikel 83 Abs. 1 EU-DSGVO ist im jeweiligen Einzelfall sicherzustellen, dass die Verhängung der Geldbuße wirksam, verhältnismäßig und abschreckend ist. Im Hinblick auf die Verhältnismäßigkeit und die Wirksamkeit kommt der Norm lediglich deklaratorische Funktion zu. Die Anforderung einer abschreckenden Ahndung ergibt sich hingegen aus Abs. 1. Sie ist gegeben, wenn die jeweilige Sanktion im Einzelfall spezialpräventiv geeignet ist, den Täter von weiteren Verstößen abzuhalten, und darüber hinaus auch unter generalpräventiven Gesichtspunkten geeignet ist, die Allgemeinheit sowohl von weiteren Verstößen abzuhalten als auch das Vertrauen der Allgemeinheit in die Geltung des Unionsrechts zu bekräftigen.
Rz. 6
Umstritten ist, ob im Hinblick auf die Verhängung einer Geldbuße nach Art. 83 EU-DSGVO das Opportunitätsprinzip gilt. Für die Anwendung des Opportunitätsprinzips spricht zumindest, dass gem. § 41 BDSG, auf den auch § 384a Abs. 2 verweist, die Vorschriften des OWiG und somit auch das in § 47 OWiG geregelte Opportunitätsprinzip im Hinblick auf Verstöße gegen Art. 83 Abs. 4–6 EU-DSGVO Anwendung findet.
Rz. 7
Ferner ist umstritten, ob auch Verstöße geahndet werden können, die ohne jegliches Verschulden begangen wurden. Teilweise wird dies aufgrund der Nennung von Vorsatz und Fahrlässigkeit als Zumessungskriterien und unter Hinweis auf das Verhältnismäßigkeits- und Schuldprinzip verneint. Die Gegenansicht, nach der die Verhängung von Geldbußen verschuldensunabhängig sei, beruft sich auf den Wortlaut, aus dem sich das Erfordernis von Fahrlässigkeit oder Vorsatz als Voraussetzung einer Geldbuße nicht ergibt. Danach soll dem Vorliegen von Fahrlässigkeit oder Vorsatz lediglich im Rahmen der Bemessung der Geldbuße Bedeutung zukommen. Ob diesem Streit praktische Bedeutung zukommen wird, bleibt abzuwarten, da die sich aus der EU-DSVGO ergebenden Verpflichtungen sehr weit gehen, so dass – zumindest in Form eines Organisationsverschuldens – in aller Regel bei objektiven Verstößen i. S. d. Art. 83 Abs. 4-6 EU-DSGVO auch fahrlässiges Handeln zu bejahen sein wird.
1.2.2 Bemessung der Geldbuße
Rz. 8
Die Kriterien für die Bemessung der Geldbuße ergeben sich aus Art. 83 Abs. 2 S. 2 EU-DSGVO. In den Buchst. a) bis k) ist ein umfassender Katalog von verschiedenen Umständen, Kriterien und Faktoren niedergelegt, der in Buchst. k) mit einer Auffangklausel endet, die mit zwei weiteren Beispielen ("erlangte finanzielle Vorteile" und "vermiedene Verluste") unterlegt wird. Aus dem Verhältnismäßigkeitsprinzip ergibt sich darüber hinaus, dass bei der Entscheidung über die Höhe der Geldbuße auch das allgemeine Einkommensniveau in dem betreffenden Mitgliedstaat und die wirtschaftliche Lage der Person einzubeziehen sind, wenn die Geldbuße nicht einem Unternehmen auferlegt wurde.
Rz. 9
Die Höhe der Geldbuße beträgt bei Verletzung einer jeden der in Art. 83 Abs. 4 EU-DSGVO in Bezug genommenen Pflichten bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2 % des weltweit im Vorjahr erzielten Jahresumsatzes. Für Verstöße gegen die in Art. 83 Abs. 5 und 6 EU-DSGVO genannten Pflichten wird die maximal zulässige Geldbuße auf bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4 % des weltweit im Vorjahr erzielten Jahresumsatzes ...