Welche Sanktionen und Durchsetzungsmöglichkeiten gibt es nach der DS-GVO?


Die DS-GVO will effektiv und zielgerichtet mittels empfindlicher Sanktionen den einheitlichen Standard in Europa für alle dort wirtschaftlich Tätigen verwirklichen. Der Bußgeldrahmen wurde deutlich erhöht. Behördliche Maßnahmen können nicht nur gegen den für die Verarbeitung Verantwortlichen selbst, sondern auch gegen Auftragsverarbeiter gerichtet werden. Die Aufsichtsbehörden können – anders als bisher – auch gegenüber Behörden Maßnahmen verbindlich anordnen.

 

Sanktionen und Durchsetzungsmöglichkeiten der Aufsichtsbehörden

Um Verstöße zu ahnden, steht den Aufsichtsbehörden unter der DS-GVO ein breites Spektrum an Maßnahmen zur Verfügung.

Zunächst können vorsorgliche Warnungen (Art. 58 Abs. 2 Buchstabe a DS-GVO) an verantwortliche Stellen und Auftragsverarbeiter ausgesprochen werden, wenn diese Datenverarbeitungen beabsichtigen, die voraussichtlich einen Verstoß gegen die Grundverordnung darstellen bzw. Verwarnungen (Art. 58 Abs. 2 Buchstabe b DS-GVO), wenn mit solchen Datenverarbeitungen bereits gegen die DS-GVO verstoßen wurde.

Darüber hinaus können Verantwortliche künftig von den Aufsichtsbehörden formal angewiesen werden, Betroffenenrechten zu entsprechen (Art. 58 Abs. 2 Buchstabe c DS-GVO), Datenverarbeitungen mit der Grundverordnung in Einklang zu bringen (Art. 58 Abs. 2 Buchstabe d DS-GVO) sowie von einem Datenschutzverstoß betroffene Personen zu benachrichtigen (Art. 58 Abs. 2 Buchstabe e DS-GVO).

Ausdrücklich kann auch die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland angeordnet werden (Art. 58 Abs. 2 Buchstabe j DS-GVO). Wie bisher können Aufsichtsbehörden weiterhin Beschränkungen und Verbote von Datenverarbeitungen verhängen (Art. 58 Abs. 2 Buchstabe f DS-GVO) sowie die Berichtigung und Löschung bestimmter Daten, sowie eine Einschränkung der Verarbeitung solcher Daten anordnen (Art. 58 Abs. 2 Buchstabe g DS-GVO). Zertifizierungsstellen können angewiesen werden, erteilte Zertifizierungen zu widerrufen oder neue Zertifizierungen nicht zu erteilen (Art. 58 Abs. 2 Buchst. h).

Zusätzlich oder anstelle dieser Maßnahmen können Verstöße gegen die DS-GVO auch weiterhin mit Geldbußen geahndet werden.

Die Aufsichtsbehörden haben die Befugnis, alle Informationen zu verlangen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Hierzu können sie den für die Verarbeitung Verantwortlichen, den Auftragsverarbeiter und den Vertreter des für die Verarbeitung Verantwortlichen anweisen.

 

Bußgeldrahmen und Bußgeldzumessung

Bußgelder müssen wirksam, verhältnismäßig und abschreckend sein. Der Bußgeldrahmen wurde mit der DS-GVO deutlich erhöht. So können Bußgelder bei schweren Verstößen Höhen von bis zu 20.000.000 Euro erreichen. Gegen Unternehmen kann diese Grenze sogar noch überschritten werden, nämlich bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 DS-GVO).

Für die konkrete Bestimmung der Höhe eines Bußgeldes wird eine Vielzahl von Aspekten einzubeziehen sein. Dabei ist neben Art, Schwere und Dauer des Verstoßes unter anderem auch zu berücksichtigen, welche Art von Daten verarbeitet wurde, ob früher angeordnete Maßnahmen von der verantwortlichen Stelle eingehalten wurden sowie ob und welche Vorteile durch die Datenverarbeitung erlangt wurden.


Es wird auch zu berücksichtigen sein, ob und wie die verantwortlichen Stellen mit den Aufsichtsbehörden zusammengearbeitet haben, um Verstößen abzuhelfen und ob sie die Verstöße eigenständig mitgeteilt haben.

 

zurück zur Übersicht