In Art. 83 DSGVO werden die allgemeinen Bedingungen für die Verhängung von Geldbußen bei Verstößen gegen die DSGVO festgelegt. Hierbei unterscheiden die Aufsichtsbehörden in ihrem Bußgeldmodell zwischen sog. formellen (Art 83 Abs. 4 DSGVO) und sog. materiellen Verstößen (Art 83 Abs. 5 DSGVO).
Formelle Verstöße liegen in der DSGVO vor, wenn die Bestimmungen aus den folgenden Vorschriften nicht eingehalten wurden:
- die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
- die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
- die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
Als typische Beispiele für formelle Verstöße können das Fehlen eines aktuellen Auftragsverarbeitungsvertrages nach Art. 28 Abs. 3 DSGVO, das Fehlen bzw. die mangelhafte Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DGSVO) oder die fehlende oder mangelhafte Benennung eines Datenschutzbeauftragten angeführt werden.
Art. 83 Abs. 4 DSGVO sieht als Folgen eines formellen Verstoßes Geldbußen vor von bis zu 10.000.000 EUR oder bei Unternehmen von bis zu 2% dessen gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.