Rz. 13
Die Sanktionstatbestände des Art. 83 EU-DSGVO finden sich in den Abs. 4–6, in denen auf mehr als 40 einzelne Artikel des EU-DSGVO Bezug genommen wird, die wiederum jeweils zahlreiche Vorgaben enthalten. Zwischen den einzelnen Absätzen bestehen Unterschiede nicht nur im Hinblick auf das jeweils sanktionierte Verhalten, sondern auch bezüglich der angedrohten Geldstrafe.
Rz. 14
Die von Art. 83 Abs. 4 EU-DSGVO erfassten Verstöße lassen sich in drei Kategorien einordnen. So erfasst Art. 83 Abs. 4 Buchst. a) EU-DSGVO die Verstöße von Verantwortlichen i. S. v. Art. 4 Nr. 7 EU-DSGVO oder Auftragsverarbeitern i. S. d. Art. 4 Nr. 8 EU-DSGVO, die bestimmten, abschließend aufgezählten Pflichten zuwiderhandeln. Art. 83 Abs. 4 Buchst. b) EU-DSGVO regelt hingegen Verstöße von Zertifizierungsstellen und Art. 83 Abs. 4 Buchst. c) EU-DSGVO ist einschlägig bei Zuwiderhandlungen gegen die Pflichten der Überwachungsstelle.
Gem. Art. 83 Abs. 4 EU-DSGVO beträgt die Geldbuße bei Verletzung einer jeden der in diesem Absatz in Bezug genommenen Pflichten bis zu 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2 % des weltweit im Vorjahr erzielten Jahresumsatzes, wobei der im Einzelfall höhere Betrag maßgeblich sein soll. Zur Bestimmung der Höhe der Geldbuße vgl. Rz. 4, 8ff.
Rz. 15
Im Gegensatz zu den in Art. 83 Abs. 4 EU-DSGVO vorgesehenen Geldbußen sind die Verstöße gegen Art. 83 Abs. 5 Buchst. a) bis e) EU-DSGVO mit deutlich schwereren Sanktionen bedroht. Nach Art. 83 Abs. 5 EU-DSGVO ist eine Geldbuße von bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4 % des weltweit im Vorjahr erzielten Jahresumsatzes möglich, wobei der im Einzelfall höhere Betrag maßgeblich sein soll.
Art. 83 Abs. 5 Buchst. a) EU-DSGVO regelt Verstöße gegen die Grundsätze der Datenverarbeitung gem. Art. 5, 6, 7 und 9 EU-DSGVO. Da diese Grundsätze z. T. vage und unklar gefasst sind, bestehen erhebliche Bedenken gegen die Anwendung dieser Norm unter dem Gesichtspunkt des sich aus Art. 103 Abs. 2 GG bzw. Art. 49 Abs. 1 S. 1 EU-GRCh ergebenden Bestimmtheitsgrundsatzes. Beispielhaft sei dies an Art. 5 Abs. 1 Buchst. a) EU-DSGVO dargelegt. Danach müssen personenbezogene Daten "auf rechtmäßige Weise", "nach Treu und Glauben" und in transparenter Weise verarbeitet werden. Geschieht dies nicht, ist der Tatbestand des Art. 83 Abs. 5 Buchst. a) EU-DSGVO erfüllt, so dass der Verstoß sanktioniert werden kann.
Die tatbestandlichen Voraussetzungen einer Datenverarbeitung nach Treu und Glauben und in transparenter Weise sind für sich betrachtet schon in hohem Grade unklar. Wie sich aber aus der gesonderten Bezugnahme auf eine Verarbeitung in rechtmäßiger Weise ergibt, gehen die Erfordernisse einer Verarbeitung nach Treu und Glauben sowie einer transparenten Verarbeitung noch über den nach Recht und Gesetz vorgegebenen Rahmen hinaus. Es dürfte sich mithin um moralisch-ethische Anforderungen handeln, deren Nichtbefolgung über Art. 83 Abs. 5 Buchst. a) EU-DSGVO in nicht subsumierbarer und nicht vorhersehbarer Weise mit einer Geldbuße von bis zu 20.000.000 EUR sanktioniert wird.
Rz. 16
Art. 83 Abs. 5 Buchst. b) EU-DSGVO erfasst hingegen Verstöße gegen die Rechte der betroffenen Peron gem. den Art. 12–22 EU-DSGVO. Art. 83 Abs. 5 Buchst. c) EU-DSGVO bedroht hingegen unerlaubte Datenübermittlungen ins EU-Ausland oder an internationale Organisationen mit Geldbuße, wenn keine besondere Erlaubnis für diese Übermittlung vorlag. Nach Art. 83 Abs. 5 Buchst. d) EU-DSGVO können Verstöße gegen Rechtsvorschriften der Mitgliedstaaten sanktioniert werden, die im Rahmen des Kapitels IX der EU-DSGVO erlassen wurden. Durch diese partielle Übertragung der Sanktionshoheit auf die Mitgliedstaaten und die gleichzeitige umfassende Sanktionsdrohung durch Art. 83 Abs. 5 Buchst. d) EU-DSGVO wird den Mitgliedstaaten die Möglichkeit genommen, in diesem Bereich sanktionsfreie Pflichten zu schaffen.
Abschließend erfasst Art. 83 Abs. 5 Buchst. e) EU-DSGVO die mangelnde Kooperation des Datenverarbeiters mit der Aufsichtsbehörde.
Rz. 17
Art. 83 Abs. 6 EU-DSGVO droht abschließend für die Nichtbefolgung der Anweisungen der Aufsichtsbehörde im Rahmen ihrer Abhilfebefugnisse i. S. d. Art. 58 Abs. 2 EU-DSGVO ebenfalls eine Geldbuße von bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4 % des weltweit im Vorjahr erzielten Jahresumsatzes an. Da der Verstoß gegen eine ergangene Abhilfeanordnung sanktioniert wird, ist es erforderlich, dass eine vollstreckbare Abhilfeanordnung der Aufsichtsbehörde vorliegt. Gegen diese kann der Verantwortliche und Adressat der Anordnung Rechtsschutz nach den §§ 42, 80 VwGO in Anspruch nehmen.
Neben der Geldbuße besteht auch die Möglichkeit, ein Zwangsgeld nach Art. 58 Abs. 2 EU-DSGVO zur Durchsetzung der Abhilfeanordnung zu verhängen.
Aus der EU-DSGVO ergeben sich für die Verpflichteten umfangreiche Compliance-, Nachweis- und Dokumentationspflichten, die vielfach generalklauselartig formuliert sind. Die einzelnen Tatbestände des Art. 83 EU-DSGVO i....