Sanktionsumfang bei Verstößen gegen die DSGVO
Bußgelder für Datenschutzverstöße sind keine Neuerfindung. Die bis zum 25. Mai 2018 gehandhabte Verfolgungspraxis von Datenschutzverstößen war aber eher zurückhaltender Natur. Wesentliche Zielsetzung der DSGVO war u.a. die konsequente Durchsetzung des bestehenden Rechts.

In diesem Zusammenhang wurde nicht nur der mögliche Bußgeldrahmen erhöht. Es wurden auch bußgeldsanktionierte Handlungspflichten erweitert, was letztlich – auch wenn die Bußgelderhöhung in aller Munde war und ist – gravierender für Verantwortliche ist.
Beispiele neuer bußgeldbewehrter Pflichten:
- Verstoß gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO ist bußgeldbewehrt
- Verstoß gegen die Pflicht zur Organisation der Erfüllung der Rechte Betroffener gemäß Art. 12 DSGVO ist bußgeldbewehrt
- Verstoß gegen die Pflicht zur Führung eines Verarbeitungsverzeichnisses gemäß Art. 30 Abs. 2 DSGVO ist bußgeldbewehrt
Zudem regelt die DSGVO in Art. 58 Abs. 2 DSGVO sog. Abhilfemaßnahmen. Dies sind Befugnisse der Aufsichtsbehörden wie Verwarnungen, Anweisungen, Beschränkungen, Widerrufsmöglichkeiten oder Verbote.
Gemäß Art. 58 Abs. 2 lit. i DSGVO kann die Aufsichtsbehörde Maßnahmen und Geldbußen getrennt voneinander oder zusammen anordnen.
Die Öffnungsklausel des Art. 84 Abs. 1 DSGVO enthält einen Regelungsauftrag an die Mitgliedstaaten, Verstöße gegen die DSGVO zu sanktionieren. Der deutsche Gesetzgeber hat mit Kapitel 5 des zweiten Teils des BDSG von dieser Öffnungsklausel Gebrauch gemacht, indem er die §§ 41 bis 43 implementiert hat. In § 41 BDSG regelte er den rechtlichen Rahmen von Straf- und Bußgeldverfahren durch Verweise auf das OWiG sowie auf die StPO und das GVG. Die §§ 42 und 43 BDSG enthalten Straf- und Bußgeldvorschriften.
In § 42 BDSG werden vorsätzliche Verstöße gegen Bestimmungen der DSGVO unter Strafe gestellt, die dadurch als strafwürdig qualifiziert werden, dass sie gewerbsmäßig (Abs. 1) oder entgeltlich oder mit Schädigungsabsicht (Abs. 2) begangen werden.