Sanktionen nach DSGVO

Geldbußen gemäß Art. 83 DSGVO

Bei Verstößen gegen bestimmte Artikel der DSGVO werden Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Hierzu gehören bspw. Verstöße gegen Privacy by Design, Privacy by Default, Nichtabschluss von Kooperationsvereinbarungen oder Verstöße gegen die Pflichten bei der Auftragsverarbeitung sowie Verstöße gegen die Meldepflichten bei einem Datenschutzvorfall.

Bei Verstößen gegen bestimmte Artikel der DSGVO werden Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Zu den Verstößen gehören insbesondere Verstöße gegen die Datenschutzprinzipien wie Transparenz, Zweckbindung, rechtmäßige Verarbeitung oder Verstöße gegen die Anforderungen an die Einwilligung sowie Verstöße gegen die Auskunfts- und Informationsrechte der Betroffenen.

Wen trifft die Geldbuße?

Geldbußen können gegen natürliche Personen, insbesondere auch die Geschäftsführer, aber auch alleine gegen juristische Personen oder gegen Beide verhängt werden. Dies entscheidet letztlich die Aufsichtsbehörde. Die Geldbuße gegen die Geschäftsführer ist dabei in der Höhe nicht begrenzt. Auch über die Höhe entscheidet die Aufsichtsbehörde.

Geldbußen gegen Geschäftsführer kommen in Betracht, wenn Diese gegen betriebliche Pflichten verstoßen, z.B. ihren Aufsichtspflichten nicht genügen oder organisatorische Mängel verschulden, wodurch es dann zur Verletzung von Datenschutzvorschriften kommt.

Strafvorschriften

Für Strafvorschriften gibt Art. 84 DSGVO eine entsprechende Öffnungsklausel für die Mitgliedstaaten. Dies ist in Deutschland mit dem BDSG neu umgesetzt.

Gemäß § 42 BDSG neu wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft,

  • wer gewerbsmäßig Daten an Dritte übermittelt
  • oder sonst zugänglich macht;

mit Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe,

  • wer nicht allgemein zugängliche Daten ohne Berechtigung verarbeitet
  • oder sich den Zugang durch unrichtige Angaben erschleicht.

Ein Strafverfahren kann nur gegen natürliche Personen geführt werden.

Stephanie Iraschko-Luscher

14.09.2017

MGDS – Ihre Unternehmensberatung für Datenschutz