Um dem Grundrecht auf Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten besondere Wirksamkeit zu verleihen, drohen bei Verstößen gegen die wichtigsten Regelungen der Datenschutz-Grundverordnung Geldbußen von bis zu 20 Mio. € oder bis zu 4 Prozent des gesamten weltweit erzieltes Jahresumsatzes des vorangegangenen Geschäftsjahrs (Artikel 83 Datenschutz-Grundverordnung).
Die Verhängung von Geldbußen bei Datenschutzverstößen steht im pflichtgemäßen Ermessen der Aufsichtsbehörden. Zusätzlich zu oder anstelle von einer Geldbuße kommen die übrigen Abhilfebefugnisse der Aufsichtsbehörden nach Artikel 58 Absatz 2 Datenschutz-Grundverordnung in Betracht. Die Höhe der Geldbuße muss zudem verhältnismäßig sein. Sinn und Zweck der von der Datenschutz-Grundverordnung festgelegten Obergrenze ist die Abschöpfung des durch den Rechtsverstoß erlangten Gewinns, nicht jedoch die Insolvenz eines Unternehmens. Es soll verhindert werden, dass Unternehmen, die mit der Verarbeitung personenbezogener Daten hohe Gewinne erzielen, Datenschutzverstöße „aus der Portokasse“ bezahlen. Eine Mindesthöhe schreibt die Datenschutz-Grundverordnung indes nicht vor.
Bei der Entscheidung über die Verhängung einer Geldbuße und deren Betrag sind die in Artikel 83 Absatz 2 genannten Aspekte, u. a. die Art, Schwere und Dauer des Verstoßes, die Vorsätzlichkeit oder Fahrlässigkeit, die getroffenen Maßnahmen zur Schadensminderung und -prävention, der Umfang der Zusammenarbeit mit den Aufsichtsbehörden sowie alle erschwerenden und mildernden Umstände des jeweiligen Einzelfalles gebührend zu berücksichtigen. Insbesondere bei geringfügigen Verstößen oder unverhältnismäßigen Belastungen sieht die Datenschutz-Grundverordnung anstelle einer Geldbuße die Möglichkeit einer Verwarnung vor (Erwägungsgrund 148).
Gegen den Bußgeldbescheid einer Aufsichtsbehörde stehen das Verfahren und die Rechtsbehelfe des Gesetzes über Ordnungswidrigkeiten (OWiG) zur Verfügung