INFORMATIONEN

Was sind die wichtigsten DSGVO-Sanktionen?

Artikel 83 der Datenschutz-Grundverordnung sieht vor, dass bei Verstößen gegen die Datenschutz-Grundverordnung angemessene, verhältnismäßige und abschreckende Sanktionen verhängt werden.

Ein Bußgeld im Zusammenhang mit der DSGVO beläuft sich auf 20.000.000 Euro oder im Falle eines Unternehmens auf 4 % des weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist). Die Höhe der Geldbußen hängt von Umfang, Schwere und Dauer des Verstoßes ab und berücksichtigt den Umfang oder die Absicht der betroffenen Sorgfalt, die Anzahl der betroffenen Personen und das Ausmaß des erlittenen Schadens.

Der Grad der Haftung des für die Verarbeitung Verantwortlichen oder des Unterauftragnehmers wird häufig ebenso berücksichtigt wie die verschiedenen technologischen und organisatorischen Maßnahmen, die noch vorhanden sind, um die Einhaltung der Vorschriften durch das Unternehmen zu gewährleisten.

Allgemeine Bedingungen für die Verhängung einer DSGVO-Geldbuße

Bei der Entscheidung über die Verhängung einer Geldbuße nach der Datenschutz-Grundverordnung und bei der Bemessung der Höhe der Geldbuße ist in jedem Fall Folgendes angemessen zu berücksichtigen:

  • Umfang, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der fraglichen Verarbeitung, der Zahl der betroffenen Personen und des Ausmaßes des erlittenen Schadens;
  • Wenn die Zuwiderhandlung vorsätzlich oder fahrlässig begangen wurde;
  • Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ergreift alle Maßnahmen, um den Schaden für die betroffenen Personen so gering wie möglich zu halten;
  • Der Grad der Haftung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der technischen und organisatorischen Maßnahmen, die gemäß den Artikeln 25 und 32 getroffen wurden;
  • Jeder Verstoß, den der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter zuvor begangen hat;
  • Das Ausmaß der Zusammenarbeit mit der Aufsichtsbehörde zur Behebung des Verstoßes und zur Minimierung etwaiger nachteiliger Folgen des Verstoßes;
  • Welche Arten von personenbezogenen Daten sind von der Sicherheitsverletzung betroffen?
  • Wie die Aufsichtsbehörde von dem Verstoß erfahren hat, einschließlich der Frage, ob und in welchem Umfang der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den Verstoß registriert hat;
  • Wurden die in Artikel 58 Absatz 2 genannten Maßnahmen aus demselben Grund bereits gegen den betreffenden für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter angeordnet, so ist die Einhaltung dieser Maßnahmen erforderlich;
  • Anwendung der gemäß Artikel 40 akzeptierten Verhaltenskodizes oder der gemäß Artikel 42 genehmigten Prüfungsverfahren;
  • Alle anderen erschwerenden oder mildernden Faktoren, die mit den Umständen des Falles zusammenhängen, wie z. B. die durch die Zuwiderhandlung direkt oder indirekt erzielten finanziellen Vorteile oder die vermiedenen Schäden.
  • Haftung des für die Verarbeitung Verantwortlichen oder des Datenverarbeiters

    Verstößt ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter im Rahmen desselben Verarbeitungsvorgangs oder ähnlicher Verarbeitungsvorgänge vorsätzlich oder fahrlässig gegen Bestimmungen dieser Verordnung, so übersteigt der kumulative Betrag der DSGVO-Sanktion nicht den Betrag, der für den schwersten Verstoß festgelegt wurde.

    Die Schweregrade von Verstößen und die verhängten DSGVO-Sanktionen

    Verstöße gegen die folgenden Anforderungen werden gemäß Absatz 2 mit Verwaltungssanktionen von bis zu 10.000.000 EUR oder im Falle einer Kapitalgesellschaft von bis zu 2 % des gesamten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet, je nachdem, welcher Betrag höher ist:

  • Die Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
  • Die Verantwortlichkeiten der Zertifizierungsstelle gemäß Artikel 42 und 43;
  • Die Aufgaben der für die Überwachung der Verhaltensnormen zuständigen Stelle gemäß Artikel 41 Absatz 4.
  • Verstöße gegen die folgenden Bestimmungen werden gemäß Absatz 2 der Datenschutz-Grundverordnung mit Sanktionen von bis zu 20 000 000 EUR oder im Falle eines Unternehmens von bis zu 4 % der weltweiten jährlichen Bruttoeinnahmen des vorangegangenen Geschäftsjahres geahndet, je nachdem, welcher Betrag höher ist:

  • Einfache Verarbeitungsstandards, einschließlich der Bedingungen, die für die in den Artikeln 5, 6, 7 und 9 vorgesehene Einwilligung gelten;
  • Rechte der betroffenen Personen nach den Artikeln 12 bis 22;
  • Übermittlung personenbezogener Daten nach den Artikeln 44 bis 49 an einen Empfänger in einem Drittland oder an eine ausländische Organisation;
  • Alle Verpflichtungen, die sich aus den gemäß Kapitel IX erlassenen Rechtsvorschriften der Mitgliedstaaten ergeben;
  • Nichtbefolgung einer von der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 angeordneten Anordnung, vorübergehenden oder endgültigen Einschränkung der Verarbeitung oder Aussetzung des Datenverkehrs oder Nichtgewährung des vorgesehenen Zugangs unter Verstoß gegen Artikel 58 Absatz 2 Nummer 1.
  • Biometrische Daten und die DSGVO

    Biometrische Daten sind eine besondere Art personenbezogener Daten, die unter die Datenschutz-Grundverordnung fallen. Wann können biometrische Daten ohne Einwilligung verarbeitet werden, und wann ist eine

    mehr »