Art.79 – EU-DSGVO – Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

1. Jede Aufsichtsbehörde ist befugt, nach Maßgabe dieses Artikels verwaltungsrechtliche Sanktionen zu verhängen.

1. Jede Aufsichtsbehörde ist befugt, nach Maßgabe dieses Artikels verwaltungsrechtliche Sanktionen zu verhängen. Die Aufsichtsbehörden arbeiten gemäß Artikel 46 und 57 zusammen, um ein harmonisiertes Niveau der Sanktionen innerhalb der Union zu gewährleisten.

1. Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß Artikel 79a in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

1. Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

2. Die verwaltungsrechtlichen Sanktionen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Die Höhe der Geldbuße bemisst sich nach der Art, Schwere und Dauer des Verstoßes, seinem vorsätzlichen oder fahrlässigen Charakter, dem Grad der Verantwortung der natürlichen oder juristischen Person und früheren Verstößen dieser Person, den nach Artikel 23 eingeführten technischen und organisatorischen Maßnahmen und Verfahren und dem Grad der Zusammenarbeit mit der Aufsichtsbehörde zur Abstellung des Verstoßes.

2. Die verwaltungsrechtlichen Sanktionen müssen in jedem Einzelfall wirksam, verhältnismäßig und  abschreckend sein. 

 (entfällt)

2a. Die Aufsichtsbehörde verhängt gegen jeden, der seinen in dieser Verordnung festgelegten Pflichten nicht nachkommt, mindestens eine der folgenden Sanktionen:

2a. Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 53 Absatz 1b Buchstaben a bis f verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) eine schriftliche Verwarnung im Fall eines ersten und nicht vorsätzlichen Verstoßes;

(a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) regelmäßige Überprüfungen betreffend den Datenschutz;

(b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes,

c) eine Geldbuße, bis zu 100 000 000 EUR oder im Fall eines Unternehmens bis zu 5 % seines weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist.

 (entfällt)

(d) die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

(e) Grad der Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftrags-verarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 23 und 30 getroffenen technischen und organisatorischen Maßnahmen;

(f) etwaige einschlägige frühere Verstöße des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters;

(g) (entfällt);

(h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der für die Verarbeitung Verantwortliche oder der Auftrags-verarbeiter den Verstoß mitgeteilt hat;

(i) Einhaltung der nach Artikel 53 Absatz 1b Buchstaben a, d, e und f früher gegen den für den betreffenden für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, falls solche Maßnahmen angeordnet wurden;

(j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 38 oder genehmigten Zertifizierungsverfahren nach Artikel 39;

(k) (entfällt);

(l) (entfällt);

(m) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall.

2b. Ist der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter im Besitz eines europäischen Datenschutzsiegels gemäß Artikel 39, so wird nur bei Vorsatz oder Fahrlässigkeit eine Geldbuße nach Absatz 2a Buchstabe c verhängt.

 2b. (entfällt komplett)

2c. Bei Verhängung einer Ordnungsstrafe werden folgende Faktoren berücksichtigt:

a) die Art, Schwere und Dauer des Verstoßes;

b) der vorsätzliche oder fahrlässige Charakter des Verstoßes,

c) der Grad der Verantwortung der natürlichen oder juristischen Person und frühere Verstöße dieser Person,

d) der Wiederholungscharakter des Verstoßes,

e) der Umfang der Zusammenarbeit mit der Aufsichtsbehörde zur Wiedergutmachung des Verstoßes und zur Minderung seiner möglichen negativen Auswirkungen,

f) die spezifischen Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind,

g) der Umfang des Schadens, auch des immateriellen Schadens, für die betroffenen Personen,

h) die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

i) direkt oder indirekt aus dem Verstoß entstandene beabsichtigte oder erlangte finanzielle Vorteile oder vermiedene Verluste,

j) die technischen und  organisatorischen Maßnahmen und Verfahren gemäß

i) Artikel 23 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen);

ii) Artikel 30 (Sicherheit der Verarbeitung);

iii) Artikel 33 (Datenschutz- Folgenabschätzung);

iv) Artikel 33a (Überprüfung der Einhaltung der Datenschutzbestimmungen);

v) Artikel 35 (Benennung eines Datenschutzbeauftragten);

k) die Weigerung, mit der Aufsichtsbehörde zusammen zu arbeiten oder die Behinderung von ihr gemäß Artikel 53 durchgeführter Nachprüfungen, Überprüfungen und Kontrollen,

l) jegliche anderen erschwerenden oder mildernden Umstände im Einzelfall.

3. Handelt es sich um einen ersten, unabsichtlichen Verstoß gegen diese Verordnung, kann anstatt einer Sanktion eine schriftliche Verwarnung erfolgen in Fällen, in denen

a) eine natürliche Person personenbezogene Daten ohne eigenwirtschaftliches Interesse verarbeitet oder

b) ein Unternehmen oder eine Organisation mit weniger als 250 Beschäftigten personenbezogene Daten nur als Nebentätigkeit zusätzlich zu den Haupttätigkeiten verarbeitet.

Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 250 000 EUR oder im Fall eines Unternehmens bis in Höhe von 0,5 % seines weltweiten Jahresumsatzes gegen jeden, der vorsätzlich oder fahrlässig

a) keine Vorkehrungen für Anträge betroffener Personen gemäß Artikel 12 Absätze 1 und 2 trifft oder den Betroffenen nicht unverzüglich oder nicht dem verlangten Format entsprechend antwortet;

b) unter Verstoß gegen Artikel 12 Absatz 4 eine Gebühr für die Auskunft oder die Beantwortung von Anträgen betroffener Personen verlangt.

3b. Jeder Mitgliedstaat kann Vorschriften dafür festlegen, ob und in welchem Umfang gegen öffentliche Behörden und öffentliche Einrichtungen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.

4. Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 500 000 EUR oder im Fall eines Unternehmens bis in Höhe von 1 % seines weltweiten Jahresumsatzes gegen jeden, der vorsätzlich oder fahrlässig

a) der betroffenen Person die Auskünfte gemäß Artikel 11, Artikel 12 Absatz 3 und Artikel 14 nicht oder nicht vollständig oder in nicht hinreichend transparenter Weise erteilt;

b) der betroffenen Person keine Auskunft gemäß Artikel 15 erteilt, personenbezogene Daten nicht gemäß Artikel 16 berichtigt oder einen Empfänger nicht gemäß Artikel 13 benachrichtigt;

c) das Recht auf Vergessenwerden oder auf Löschung nicht beachtet, keine Vorkehrungen trifft, um die Einhaltung der Fristen zu gewährleisten, oder nicht alle erforderlichen Schritte unternimmt, um Dritte von einem Antrag der betroffenen Person auf Löschung von Links zu personenbezogenen Daten sowie Kopien oder Replikationen dieser Daten gemäß Artikel 17 zu benachrichtigen;

d) keine Kopie der personenbezogenen Daten in elektronischem Format bereitstellt oder die betroffene Person unter Verstoß gegen Artikel 18 daran hindert, personenbezogene Daten auf eine andere Anwendung zu übertragen;

e) die jeweilige Verantwortung der für die Verarbeitung Mitverantwortlichen nicht oder nicht hinreichend gemäß Artikel 24 bestimmt hat;

f) die Dokumentation gemäß Artikel 28, Artikel 31 Absatz 4 und Artikel 44 Absatz 3 nicht oder nicht hinreichend gewährleistet;

g)   in Fällen, in denen keine besonderen Kategorien von Daten verarbeitet werden, die Vorschriften im Hinblick auf die freie Meinungsäußerung gemäß Artikel 80, die Datenverarbeitung im Beschäftigungskontext gemäß Artikel 82 oder die Bedingungen für die Verarbeitung zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung gemäß Artikel 83 nicht beachtet.

5. Die Mitgliedstaaten können darauf verzichten, Vorschriften für Geldbußen nach Artikel 79a Absätze 1, 2 und 3 vorzusehen, wenn in ihrem Rechtssystem keine Geldbußen vorgesehen sind und bis zum [in Artikel 91 Absatz 2 genannter Zeitpunkt] bereits nach ihrem nationalen Recht strafrechtliche Sanktionen für die darin genannten Verstöße vorgesehen sind; dabei sorgen sie dafür, dass diese strafrechtlichen Sanktionen wirksam, verhältnismäßig und abschreckend sind, und berücksichtigen die Höhe der in dieser Verordnung vorgesehenen Geldbußen.

Beschließen die Mitgliedstaaten dies, so melden sie der Kommission die entsprechenden Bestimmungen ihres Strafrechts in ihren Einzelheiten.

6. Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 1 000 000 EUR oder im Fall eines Unternehmens bis in Höhe von 2 % seines weltweiten Jahresumsatzes gegen jeden, der vorsätzlich oder fahrlässig

a) die Bedingungen für die Einwilligung gemäß den Artikeln 6, 7 und 8 nicht beachtet;  personenbezogene Daten ohne oder ohne ausreichende Rechtsgrundlage verarbeitet oder

b) unter Verstoß gegen die Artikel 9 und 81 besondere Kategorien von Daten verarbeitet;

c) das Recht auf Widerspruch gemäß Artikel 19 oder eine damit verbundene Bedingung nicht beachtet;

d) die Bedingungen gemäß Artikel 20 in Bezug auf Maßnahmen, die auf Profiling basieren, nicht beachtet;

e) keine internen Datenschutzstrategien festlegt oder keine geeigneten Maßnahmen gemäß den Artikeln 22, 23 und 30 anwendet, um die Beachtung der Datenschutzvorschriften sicherzustellen und nachzuweisen;

f) keinen Vertreter gemäß Artikel 25 benennt;

g) unter Verstoß gegen die mit der Datenverarbeitung im Namen eines für die Verarbeitung Verantwortlichen verbundenen Pflichten gemäß den Artikeln 26 und 27 personenbezogene Daten verarbeitet oder deren Verarbeitung anordnet;

h) die Aufsichtsbehörde bei einer Verletzung des Schutzes personenbezogener Daten nicht alarmiert oder sie oder die betroffene Person gemäß den Artikeln 31 und 32 nicht oder nicht rechtzeitig oder nicht vollständig von einer solchen Verletzung benachrichtigt;

i) keine Datenschutz-Folgenabschätzung nach Artikel 33 vornimmt oder personenbezogene Daten entgegen Artikel 34 ohne vorherige Genehmigung oder ohne Zurateziehung der Aufsichtsbehörde verarbeitet;

j) keinen Datenschutzbeauftragten nach Artikel 35 benennt oder nicht die Voraussetzungen für die Erfüllung seiner Aufgaben gemäß Artikel 35, 36 und 37 schafft;

k) ein Datenschutzsiegel oder -zeichen im Sinne des Artikels 39 missbraucht;

l) eine mangels eines Angemessenheitsbeschlusses oder mangels geeigneter Garantien oder einer Ausnahme gemäß den Artikeln 40 bis 44 unzulässige Datenübermittlung in ein Drittland oder an eine internationale Organisation vornimmt oder anordnet;

m) einer Anweisung oder einem vorübergehenden oder endgültigen Verarbeitungsverbot oder einer Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 53 Absatz 1 nicht Folge leistet;

n) entgegen den Pflichten gemäß Artikel 28 Absatz 3, Artikel 29, Artikel 34 Absatz 6 und Artikel 53 Absatz 2 die Aufsichtsbehörde nicht unterstützt, nicht mit ihr zusammenarbeitet, ihre keine einschlägigen Auskünfte erteilt oder keinen Zugang zu seinen Räumlichkeiten gewährt;

o) die Vorschriften über die Wahrung des Berufsgeheimnisses gemäß Artikel 84 nicht einhält.

7. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Beträge der in den Absätzen 4, 5 und 6 genannten Geldbußen unter Berücksichtigung der in Absatz 2 aufgeführten Kriterien zu aktualisieren.

7. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die absoluten Beträge der in Absatz 2a genannten Geldbußen unter Berücksichtigung der in den Absätzen 2 und 2c aufgeführten Kriterien und Umstände zu aktualisieren.

 (entfällt)