Aufsichtsbefugnisse und Sanktionen in der DS-GVO

Die DS-GVO stellt den Aufsichtsbehörden einen umfassenden Katalog von Untersuchungs- und Abhilfebe­fugnissen zur Verfügung, um die Einhaltung datenschutz­rechtlicher Bestimmungen durchzusetzen. Außerdem können Verstöße auch mit hohen Geldbußen sanktioniert werden.

Untersuchungs- und Abhilfebefugnisse im Verwaltungs­verfahren (Art. 58 DS-GVO)
Gegenüber Verwantwortlichen und Auftrags­ver­arbeitern können vorsorgliche Warnungen ausgesprochen werden, wenn mit einem Verstoß gegen die DS-GVO gerechnet wird.
Darüber hinaus können Verantwortliche und Auftrags­verarbeiter künftig von den Aufsichtsbehörden angewiesen werden, Betroffe­nenrechten zu entsprechen, Datenver­ar­beitungen mit der DS-GVO in Einklang zu bringen sowie von einem Datenschutzverstoß betroffene Personen entsprechend zu benachrichtigen.
Des Weiteren ist künftig auch die Anordnung der Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation möglich.
Die Befugnis der Aufsichtsbehörden, Beschränkungen und Verbote von Datenver­ar­beitungen und die Berichtigung oder Löschung bestimmter Daten sowie eine Einschränkung der Verarbeitung solcher Daten anzuordnen, bleibt unberührt.
Auch können Zertifizierungen seitens der Aufsichtsbehörden selbst widerrufen oder Zertifizie­rungsstellen angewiesen werden, erteilte Zertifizierungen zu widerrufen oder neue Zertifizierungen nicht zu erteilen. 

Diese Maßnahmen können sich künftig nicht nur gegen den Verantwortlichen selbst, sondern auch gegen Auftrags­verarbeiter richten und alle Anordnungen können mit Zwangsmitteln, wie Zwangsbeldern durchgesetzt werden.

Verhängung von Geldbußen (Art. 83 DS-GVO)
Zusätzlich oder anstelle der genannten Maßnahmen können Verstöße gegen die DS-GVO mit Geldbußen geahndet werden.
Der Rahmen für die Geldbußen wird durch die DS-GVO deutlich erhöht, was der gestiegenen Bedeutung des Datenschutzes Rechnung tragen soll.
Es können Geldbußen von bis zu 10.000.000 Euro bzw. bei Unternehmen bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, bei bestimmten besonders schwerwiegenden Verstößen sogar bis zu 20.000.000 Euro, bzw. bei Unternehmen bis zu 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs, verhängt werden. Die maximale Obergrenze für die Geldbuße richtet sich danach, welcher der Beträge höher ist.
Für die Zurechnung eines Verstoßes zu eiem Unternehmen reicht es aus, dass ein Beschäftigter des Unternehmens oder auch ein für das Unternehmen agierender externer Beauftragter gehandelt hat. Die Zurechnung ist damit nicht auf Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens begrenzt.
Für die Zumessung der Geldbußen gilt der Grundsatz, dass die Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen.
Neben Art, Schwere und Dauer des Verstoßes ist auchzu berücksichtigen, welche Art von Daten verarbeitet wurde, sowie ob früher angeordnete Maßnahmen vom Verantwortlichen eingehalten wurden.
Es soll ebenfalls berücksichtigt werden, ob und wie die Verantwortlichen mit der Aufsichtsbehörde zusammen­gearbeitet haben, um Verstößen abzuhelfen und mögliche nachteilige Auswirkungen zu mindern.
Außerdem ist der Grad der Verantwortung des Verantwortlichen bzw. Auftrags­ver­arbeiters unter Berücksichtigung der von ihm getroffenen technischen und organisa­torischen Maßnahmen ein im Einzelfall zu überprüfendes Kriterium.

Es bleibt abzuwarten, in welcher Form der Europäische Datenschutz­ausschuss seinen Auftrag, Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung der oben genannten Maßnahmen und die Festsetzung von Geldbußen zu erlassen, umsetzen wird.