Sanktionen bei Datenschutzverstößen
Rechtsgrundlage
Art. 83 DSGVO legt sowohl die allgemeinen Bedingungen und Grundsätze als auch den Rahmen für die Höhe der Geldbußen fest.
Zur Bemessung der Höhe des Bußgeldes bestimmt Art. 83 Abs. 1 DSGVO, dass jede Aufsichtsbehörde sicherzustellen hat, dass die Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein muss. Die Geldbuße ist demnach so zu bemessen, dass sie den durch den Datenschutzverstoß erlangten oder zu erlangenden Vorteil deutlich übersteigt. Die Geldbuße muss nach dem Verhältnismäßigkeitsprinzip zur Erreichung des Sanktionszwecks geeignet und angemessen sein. Unter diesem Gesichtspunkt können die Aufsichtsbehörden gem. Art. 83 Abs. 2 DSGVO je nach den Umständen der Einzelfälle Maßnahmen nach Art. 58 Abs. 2 lit. a bis h und i DSGVO oder anstelle dieser Maßnahmen oder ergänzend dazu Geldbußen verhängen.
Art. 83 Abs. 4 und 5 DSGVO legen bei Datenschutzverstößen je nach der Art des Verstoßes eines Verantwortlichen, je nachdem, welcher Betrag höher ist, einen Bußgeldrahmen bis zu 10 Mio. Euro oder 2 % bzw. 20 Mio. Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres fest.
Mit den Bußgeldregelungen des Art. 83 DSGVO verfolgt der EU-Verordnungsgeber das Ziel, EU-weit gleichwertige Aktionen einzuführen. Um ein einheitliches Vorgehen bei der Verhängung der Geldbußen sicherzustellen, bei dem alle Grundsätze der vorliegenden Leitlinien gebührend berücksichtigt werden, hat sich die Artikel-29-Datenschutzgruppe in Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der DSGVO (WP 253) auf eine einheitliche Auslegung der Bewertungskriterien nach Artikel 83 Absatz 2 DSGVO verständigt. Die Leitlinien legen Bewertungskriterien für die Art, Schwere und Dauer, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, für jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, für den Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen fest. Mit berücksichtigt werden auch etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters und der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern. Auch die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat, kann bei der Bemessung des Bußgelds berücksichtigt werden. Siehe dazu:
https://www.datenschutzkonferenz-online.de/media/wp/20171003_wp253.pdf
Bußgeldrahmen von bis zu 10 Mio. Euro bzw. 2 % des Jahresumsatzes (Art. 83 Abs. 4 DSGVO)
Art. 83 Abs. 4 DSGVO schreibt dazu vor:
Bei Verstößen gegen die folgenden Bestimmungen werden gem. Art. 83 Abs. 4 im Einklang mit Abs. 2 DSGVO Geldbußen von bis zu 10 000 000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43 DSGVO.
Damit werden Verstöße gegen folgende Vorschriften sanktioniert:
- Einwilligungsanforderungen bei Kindern in Bezug auf Dienste der Informationsgesellschaft (Art. 8)
- Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist (Art. 11)
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25)
- Gemeinsam für die Verarbeitung Verantwortliche (Art. 26)
- Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern (Art. 27)
- Auftragsverarbeiter (Art. 28)
- Verarbeitung unter Aufsicht des Verantwortlichen oder des Auftragsverarbeiters (Art. 29)
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
- Zusammenarbeit mit der Aufsichtsbehörde (Art. 31)
- Sicherheit der Verarbeitung – Technische und organisatorische Maßnahmen (Art. 32)
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33)
- Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 34)
- Datenschutzfolgenabschätzung (Art. 35)
- Vorherige Konsultation (Art. 36)
- Benennung eines Datenschutzbeauftragten (Art. 37)
- Stellung des Datenschutzbeauftragten (Art. 38)
- Aufgaben des Datenschutzbeauftragten (Art. 39)
b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43
c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4
Bußgeldrahmen von bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes (Art. 83 Abs. 5 DSGVO)
Zum Bußgeldrahmen bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes bestimmt Art. 83 Abs. 5 DSGVO:
a) Bei Verstößen gegen die folgenden Bestimmungen werden gem. Art. 83 Abs. 5 im Einklang mit Abs. 2 DSGVO Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
Dazu gehören:
- Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5)
- Rechtmäßigkeit der Verarbeitung (Art. 6)
- Bedingungen für die Einwilligung (Art. 7)
- Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9)
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
Dazu gehören:
- Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12)
- Information bei der Erhebung von personenbezogenen Daten (Art. 13)
- Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14)
- Auskunftsrecht der betroffenen Person (Art. 15)
- Recht auf Berichtigung (Art. 16)
- Recht auf Löschung (Recht auf Vergessenwerden) (Art. 17)
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19)
- Recht auf Datenübertragbarkeit (Art. 20)
- Widerspruchsrecht (Art. 21)
- Automatisierte Einzelentscheidung im Einzelfall und Profiling (Art. 22)
c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
Dazu gehören:
- Allgemeine Grundsätze der Datenübermittlung (Art. 44)
- Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Art. 45)
- Datenübermittlung vorbehaltlich geeigneter Garantien (Art. 46)
- Verbindliche interne Datenschutzvorschriften (Art. 47)
- Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung (Art. 48)
- Ausnahmen für bestimmte Fälle (Art. 49)
d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX (Anm.: Vorschriften für besondere Verarbeitungssituationen – Art. 85 bis 89) erlassen wurden;
e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gem. Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.
Gemäß Art. 83 Abs. 6 DSGVO können bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gem. Art. 58 Abs. 2 im Einklang mit Absatz 2 DSGVO des vorliegenden Artikels Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Als Unternehmen im Sinne von Art. 83 Abs. 4 und 5 DSGVO ist in Art. 4 Nr. 18 DSGVO eine natürliche und juristische Person definiert, die eine wirtschaftliche Tätigkeit ausübt und zwar unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen. Lt. EG 150 sollen für die Definition des Unternehmens die Art. 101 und 102 des Vertrags über die Arbeitsweisen der Europäischen Union maßgebend sein. Danach soll die wettbewerbsrechtliche Definition zugrunde gelegt werden und auf die wirtschaftliche Einheit abgestellt werden.
Die Artikel-29-Datenschutzgruppe sagt dazu im WP 253, S. 6:
„Damit die von den Aufsichtsbehörden verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sind, sollte für sie die vom EuGH für die Anwendung der Artikel 101 und 102 AEUV festgelegte Definition des Begriffs ‚Unternehmen‘ maßgeblich sein, wonach als Unternehmen eine Wirtschaftseinheit verstanden wird, zu der gegebenenfalls die Muttergesellschaft und alle abhängigen Tochtergesellschaften gehören. Gemäß dem EU-Recht und der geltenden Rechtsprechung der EU ist ein Unternehmen als Wirtschaftseinheit zu verstehen, die unabhängig von den beteiligten juristischen Personen an wirtschaftlichen Tätigkeiten beteiligt ist (Erwägungsgrund 150).“
Auch im Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen Unternehmen vom 14.Oktober 2019 wird auf Seite 3 gemäß dem Erwägungsgrund 150 der DSGVO der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV (sog. funktionaler Unternehmensbegriff) zugrunde gelegt; siehe:
https://www.datenschutzkonferenz-online.de/media/wp/20171003_wp253.pdf
und
https://www.datenschutzkonferenz-online.de/media/ah/ 20191016_bußgeldkonzept.pdf
Wird das Bußgeld nach dem erzielten Jahresumsatz berechnet, ist nicht der Umsatz der einzelnen Gesellschaft, sondern derjenige der Unternehmenseinheit maßgeblich.
Kriterien und Kategorisierung von Verstößen
Bei der Bemessung des Bußgeldes sind gem. Art. 83 Abs. 2 DSGVO folgende Kriterien zu berücksichtigen:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 DSGVO früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 DSGVO oder genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
EG 148 führt dazu aus:
„Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder anstelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.“
Bei der Verhängung von Geldbußen müssen die Aufsichtsbehörden das Prinzip der Gleichwertigkeit beachten, das heißt, bei gleichartigen Verstößen gegen Datenschutzvorschriften müssen die Aufsichtsbehörden auch gleichwertige Sanktionen verhängen. In diesem Sinne verpflichtet Art. 57 Abs. 2 lit. g DSGVO die Aufsichtsbehörden auch zur Zusammenarbeit und zum Informationsaustusch, um eine einheitliche Anwendung und Durchsetzung der DSGVO zu gewährleisten. Die Art.-29- Datenschutzgruppe hat hierzu im WP 253 Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679 herausgegeben. Diese Leitlinien enthalten nähere Erläuterungen zur Auslegung der o. g. Kriterien gem. Art. 83 Abs. 2 DSGVO.
Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen gegen mehrere Bestimmungen der DSGVO, die jeweils für sich mit Sanktionen bedroht sind, darf der Gesamtbetrag der Geldbuße den Betrag für den schwerwiegendsten Verstoß nicht überschreiten. Die Summe der Geldbußen für die einzelnen Verstöße darf damit den für den schwerwiegendsten Verstoß festgelegten Betrag nicht übersteigen, sondern wird durch diesen Einzelbetrag gedeckelt. Voraussetzung ist aber, dass es sich um gleiche oder miteinander verbundene Verarbeitungsvorgänge handelt. Verbundene Verfahren liegen vor, wenn die Verfahren insbesondere den gleichen Personenkreis betreffen und gleichen bzw. zusammenhängenden Zwecken dienen.
Siehe dazu: Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen Unternehmen vom 14. Oktober 2019, online unter:
https://www.datenschutzkonferenz-online.de/media/ ah/20191016_bußgeldkonzept.pdf
Ein Rechtsbehelfsverfahren gegen aufsichtsrechtliche Maßnahmen gem. Art. 83 DSGVO ist in der Verordnung nicht geregelt. Art. 83 Abs. 8 DSGVO schreibt aber vor, dass die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss. Dies bedeutet, dass mitgliedstaatliche Rechtsvorschriften und Verfahrensgarantien bestehen müssen, die dem Adressaten des Bußgeldbescheids Rechtsbehelfe und ein ordnungsgemäßes gerichtliches Verfahren zur Überprüfung des Bußgeldbescheids zur Verfügung stellen. Bußgeldverfahren richten sich hier nach den Vorschriften des Ordnungswidrigkeitengesetzes.
Das Grundgesetz enthält dazu eine sog. Rechtsweggarantie und bestimmt in Art. 19 Abs. 4:
„Wird jemand durch die öffentliche Gewalt in seinen Rechten verletzt, so steht ihm der Rechtsweg offen.“
Diese Rechtsweggarantie gehört zu den Grundrechten und stellt sicher, dass jede behördliche Maßnahme einer gerichtlichen Überprüfung zugeführt werden kann.
Bei Bußgeldstreitigkeiten ist der Rechtsweg zu den Gerichten der ordentlichen Gerichtsbarkeit mit der Maßgabe gegeben, dass bei Geldbußen über 100.000 Euro das Landgericht entscheidet (§ 41 Abs. 1 Satz 3 BDSG).
§ 43 Abs. 1 BDSG schafft zusätzliche Bußgeldtatbestände. Danach handelt ordnungswidrig, wer entgegen § 30 Abs. 1 BDSG ein Auskunftsverlangen nicht richtig behandelt (Auskunftsverlangen von Darlehensgebern aus anderen EU-Staaten durch Kreditauskunfteien) oder entgegen § 30 Abs. 2 Satz 1 BDSG einen Verbraucher nicht vollständig oder nicht rechtzeitig unterrichtet (Unterrichtspflicht von Verbrauchern bei Abschluss eines Verbraucherdarlehensvertrages infolge einer negativen Auskunft einer Kreditauskunftei). Diese Ordnungswidrigkeit kann mit Bußgeld bis zu 50.000 Euro geahndet werden. Mit dieser Regelung werden die Bestimmungen des § 43 Abs. 1 Nr. 7a und b BDSG a. F. und bezüglich der Höhe des Bußgeldes § 43 Abs. 3 Satz 1 BDSG a. F. beibehalten.
Gegen Behörden und sonstige öffentliche Stellen im Sinne von § 2 Abs. 1 BDSG werden keine Bußgelder verhängt. Diese Ausnahme gilt jedoch nicht für öffentliche Stellen, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, denn der Verweis in § 43 Abs. 3 BDSG bezieht sich nur auf § 2 Abs. 1 BDSG. Gemäß § 2 Abs. 5 BDSG sind aber am Wettbewerb teilnehmende öffentliche Stellen vom Kreis der Stellen i. S v. § 2 Abs. 1 BDSG wieder ausgenommen. Mit dieser Regelung sollen am Wettbewerb teilnehmende öffentliche Stellen nicht bessergestellt werden als nichtöffentliche Wettbewerber.
Bußgeldrahmen von bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes (Art. 83 Abs. 5 DSGVO)
Zum Bußgeldrahmen bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes bestimmt Art. 83 Abs. 5 DSGVO:
a) Bei Verstößen gegen die folgenden Bestimmungen werden gem. Art. 83 Abs. 5 im Einklang mit Abs. 2 DSGVO Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
Dazu gehören:
- Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5)
- Rechtmäßigkeit der Verarbeitung (Art. 6)
- Bedingungen für die Einwilligung (Art. 7)
- Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9)
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
Dazu gehören:
- Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12)
- Information bei der Erhebung von personenbezogenen Daten (Art. 13)
- Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14)
- Auskunftsrecht der betroffenen Person (Art. 15)
- Recht auf Berichtigung (Art. 16)
- Recht auf Löschung (Recht auf Vergessenwerden) (Art. 17)
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19)
- Recht auf Datenübertragbarkeit (Art. 20)
- Widerspruchsrecht (Art. 21)
- Automatisierte Einzelentscheidung im Einzelfall und Profiling (Art. 22)
c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
Dazu gehören:
- Allgemeine Grundsätze der Datenübermittlung (Art. 44)
- Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Art. 45)
- Datenübermittlung vorbehaltlich geeigneter Garantien (Art. 46)
- Verbindliche interne Datenschutzvorschriften (Art. 47)
- Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung (Art. 48)
- Ausnahmen für bestimmte Fälle (Art. 49)
d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX (Anm.: Vorschriften für besondere Verarbeitungssituationen – Art. 85 bis 89) erlassen wurden;
e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gem. Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.
Gemäß Art. 83 Abs. 6 DSGVO können bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gem. Art. 58 Abs. 2 im Einklang mit Absatz 2 DSGVO des vorliegenden Artikels Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Als Unternehmen im Sinne von Art. 83 Abs. 4 und 5 DSGVO ist in Art. 4 Nr. 18 DSGVO eine natürliche und juristische Person definiert, die eine wirtschaftliche Tätigkeit ausübt und zwar unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen. Lt. EG 150 sollen für die Definition des Unternehmens die Art. 101 und 102 des Vertrags über die Arbeitsweisen der Europäischen Union maßgebend sein. Danach soll die wettbewerbsrechtliche Definition zugrunde gelegt werden und auf die wirtschaftliche Einheit abgestellt werden.
Die Artikel-29-Datenschutzgruppe sagt dazu im WP 253, S. 6:
„Damit die von den Aufsichtsbehörden verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sind, sollte für sie die vom EuGH für die Anwendung der Artikel 101 und 102 AEUV festgelegte Definition des Begriffs ‚Unternehmen‘ maßgeblich sein, wonach als Unternehmen eine Wirtschaftseinheit verstanden wird, zu der gegebenenfalls die Muttergesellschaft und alle abhängigen Tochtergesellschaften gehören. Gemäß dem EU-Recht und der geltenden Rechtsprechung der EU ist ein Unternehmen als Wirtschaftseinheit zu verstehen, die unabhängig von den beteiligten juristischen Personen an wirtschaftlichen Tätigkeiten beteiligt ist (Erwägungsgrund 150).“
Auch im Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen Unternehmen vom 14.Oktober 2019 wird auf Seite 3 gemäß dem Erwägungsgrund 150 der DSGVO der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV (sog. funktionaler Unternehmensbegriff) zugrunde gelegt; siehe:
https://www.datenschutzkonferenz-online.de/media/wp/20171003_wp253.pdf
und
https://www.datenschutzkonferenz-online.de/media/ah/ 20191016_bußgeldkonzept.pdf
Wird das Bußgeld nach dem erzielten Jahresumsatz berechnet, ist nicht der Umsatz der einzelnen Gesellschaft, sondern derjenige der Unternehmenseinheit maßgeblich.