Artikel 79 DSGVO-EU: Verwaltungsrechtliche Sanktionen

1. Jede Aufsichtsbehörde ist befugt, nach Maßgabe dieses Artikels verwaltungsrechtliche Sanktionen zu verhängen.

2. Die verwaltungsrechtlichen Sanktionen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Die Höhe der Geldbuße bemisst sich nach der Art, Schwere und Dauer des Verstoßes, seinem vorsätzlichen oder fahrlässigen Charakter, dem Grad der Verantwortung der natürlichen oder juristischen Person und früheren Verstößen dieser Person, den nach Artikel 23 eingeführten technischen und organisatorischen Maßnahmen und Verfahren und dem Grad der Zusammenarbeit mit der Aufsichtsbehörde zur Abstellung des Verstoßes.

3. Handelt es sich um einen ersten, unabsichtlichen Verstoß gegen diese Verordnung, kann anstatt einer Sanktion eine schriftliche Verwarnung erfolgen in Fällen, in denen
(a) eine natürliche Person personenbezogene Daten ohne eigenwirtschaftliches Interesse verarbeitet oder
(b) ein Unternehmen oder eine Organisation mit weniger als 250 Beschäftigten personenbezogene Daten nur als Nebentätigkeit zusätzlich zu den Haupttätigkeiten verarbeitet.

4. Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 250 000 EUR oder im Fall eines Unternehmens bis in Höhe von 0,5 % seines weltweiten Jahresumsatzes gegen jeden, der vorsätzlich oder fahrlässig
(a) keine Vorkehrungen für Anträge betroffener Personen gemäß Artikel 12 Absätze 1 und 2 trifft oder den Betroffenen nicht unverzüglich oder nicht dem verlangten Format entsprechend antwortet;
(b) unter Verstoß gegen Artikel 12 Absatz 4 eine Gebühr für die Auskunft oder die Beantwortung von Anträgen betroffener Personen verlangt.

5. Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 500 000 EUR oder im Fall eines Unternehmens bis in Höhe von 1 % seines weltweiten Jahresumsatzes gegen jeden, der vorsätzlich oder fahrlässig
(a) der betroffenen Person die Auskünfte gemäß Artikel 11, Artikel 12 Absatz 3 und Artikel 14 nicht oder nicht vollständig oder in nicht hinreichend transparenter Weise erteilt;
(b) der betroffenen Person keine Auskunft gemäß Artikel 15 erteilt, personenbezogene Daten nicht gemäß Artikel 16 berichtigt oder einen Empfänger nicht gemäß Artikel 13 benachrichtigt;
(c) das Recht auf Vergessenwerden oder auf Löschung nicht beachtet, keine Vorkehrungen trifft, um die Einhaltung der Fristen zu gewährleisten, oder nicht alle erforderlichen Schritte unternimmt, um Dritte von einem Antrag der betroffenen Person auf Löschung von Links zu personenbezogenen Daten sowie Kopien oder Replikationen dieser Daten gemäß Artikel 17 zu benachrichtigen;
(d) keine Kopie der personenbezogenen Daten in elektronischem Format bereitstellt oder die betroffene Person unter Verstoß gegen Artikel 18 daran hindert, personenbezogene Daten auf eine andere Anwendung zu übertragen;
(e) die jeweilige Verantwortung der für die Verarbeitung Mitverantwortlichen nicht oder nicht hinreichend gemäß Artikel 24 bestimmt hat;
(f) die Dokumentation gemäß Artikel 28, Artikel 31 Absatz 4 und Artikel 44 Absatz 3 nicht oder nicht hinreichend gewährleistet;
(g) in Fällen, in denen keine besonderen Kategorien von Daten verarbeitet werden, die Vorschriften im Hinblick auf die freie Meinungsäußerung gemäß Artikel 80, die Datenverarbeitung im Beschäftigungskontext gemäß Artikel 82 oder die Bedingungen für die Verarbeitung zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung gemäß Artikel 83 nicht beachtet.

6. Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 1 000 000 EUR oder im Fall eines Unternehmens bis in Höhe von 2 % seines weltweiten Jahresumsatzes gegen jeden, der vorsätzlich oder fahrlässig
(a) personenbezogene Daten ohne oder ohne ausreichende Rechtsgrundlage verarbeitet oder die Bedingungen für die Einwilligung gemäß den Artikeln 6, 7 und 8 nicht beachtet; (b) unter Verstoß gegen die Artikel 9 und 81 besondere Kategorien von Daten verarbeitet;
(c) das Recht auf Widerspruch gemäß Artikel 19 oder eine damit verbundene Bedingung nicht beachtet;
(d) die Bedingungen gemäß Artikel 20 in Bezug auf Maßnahmen, die auf Profiling basieren, nicht beachtet;
(e) keine internen Datenschutzstrategien festlegt oder keine geeigneten Maßnahmen gemäß den Artikeln 22, 23 und 30 anwendet, um die Beachtung der Datenschutzvorschriften sicherzustellen und nachzuweisen;
(f) keinen Vertreter gemäß Artikel 25 benennt;
(g) unter Verstoß gegen die mit der Datenverarbeitung im Namen eines für die Verarbeitung Verantwortlichen verbundenen Pflichten gemäß den Artikeln 26 und 27 personenbezogene Daten verarbeitet oder deren Verarbeitung anordnet;
(h) die Aufsichtsbehörde bei einer Verletzung des Schutzes personenbezogener Daten nicht alarmiert oder sie oder die betroffene Person gemäß den Artikeln 31 und 32 nicht oder nicht rechtzeitig oder nicht vollständig von einer solchen Verletzung benachrichtigt;
(i) keine Datenschutz-Folgenabschätzung nach Artikel 33 vornimmt oder personenbezogene Daten entgegen Artikel 34 ohne vorherige Genehmigung oder ohne Zurateziehung der Aufsichtsbehörde verarbeitet;
(j) keinen Datenschutzbeauftragten nach Artikel 35 benennt oder nicht die Voraussetzungen für die Erfüllung seiner Aufgaben gemäß Artikel 35, 36 und 37 schafft;
(k) ein Datenschutzsiegel oder -zeichen im Sinne des Artikels 39 missbraucht;
(l) eine mangels eines Angemessenheitsbeschlusses oder mangels geeigneter Garantien oder einer Ausnahme gemäß den Artikeln 40 bis 44 unzulässige Datenübermittlung in ein Drittland oder aneine internationale Organisation vornimmt oder anordnet;
(m) einer Anweisung oder einem vorübergehenden oder endgültigen Verarbeitungsverbot oder einer Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 53 Absatz 1 nicht Folge leistet;
(n) entgegen den Pflichten gemäß Artikel28 Absatz 3, Artikel 29, Artikel 34 Absatz 6 und Artikel 53 Absatz 2 die Aufsichtsbehörde nicht unterstützt, nicht mit ihr zusammenarbeitet, ihre keine einschlägigen Auskünfte erteilt oder keinen Zugang zu seinen Räumlichkeiten gewährt;
(o) die Vorschriften über die Wahrung des Berufsgeheimnisses gemäß Artikel 84 nicht einhält.

7. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Beträge der in den Absätzen 4, 5 und 6 genannten Geldbußen unter Berücksichtigung der in Absatz 2 aufgeführten Kriterien zu aktualisieren.

Entwurf!

Begründung:

(3.4. Erläuterung des Vorschlags im Einzelnen)

"Nach Artikel 79 ist jede Aufsichtsbehörde verpflichtet, die dort aufgelisteten verwaltungsrechtlichen Vergehen unter Beachtung der Umstände des Einzelfalls mit einer Geldbuße bis in Höhe der angegebenen Höchstbeträge zu ahnden."

Erwägungsgründe:

"(120) Um die verwaltungsrechtlichen Sanktionen, die bei Verstößen gegen diese Verordnung verhängt werden können, zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, verwaltungsrechtliche Vergehen zu ahnden. Diese Vergehen sollten in dieser Verordnung zusammen mit der Obergrenze der entsprechenden Geldbußen aufgeführt werden, die in jedem Einzelfall im Verhältnis zu den besonderen Umständen des Falls und unter Berücksichtigung insbesondere der Art, Schwere und Dauer des Verstoßes festzusetzen sind. Abweichungen bei der Anwendung verwaltungsrechtlicher Sanktionen können im Kohärenzverfahren behandelt werden."

Quelle: Europäischen Kommission: "Vorschlag für Verordnung des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) /* KOM/2012/011 endgültig - 2012/0011 (COD) */" vom 25.01.2012.