Art. 71 bis 74 Staatsgesetz 3/2018 bestimmt feinere Kategorien von Verstößen im Vergleich zur DSGVO. Die Kategorien unterscheiden sich in sehr schwere, schwere und geringfügige Verstöße. Es gilt eine Verjährungsfrist von drei, zwei bzw. einem Jahr.
Beispiele für schwere Verstöße sind: die Verarbeitung von Daten Minderjähriger ohne deren Einwilligung oder die Einwilligung des Sorgeberechtigten; die Beeinträchtigung der Rechte der Betroffenen; mangelnde Zusammenarbeit mit den zuständigen Behörden; die Nicht-Benennung eines DSB.
Beispiele für geringfügige Verstöße sind: Nichtveröffentlichung des Vertrags über die gemeinsame Verantwortlichkeit; Einreichung unvollständiger Verzeichnisse der Verarbeitungstätigkeiten; Unterlassen der Veröffentlichung der Kontaktdaten des DSB oder fehlende Übermittlung an die AEPD.
Art. 76 (2) Staatsgesetz 3/2018 führt zusätzliche Kriterien zur Ermittlung der Bußgeldhöhe ein. Dazu gehören: ob der Verantwortliche, der Auftragsverarbeiter, der EU-Vertreter oder die Zertifizierungs- oder Akkreditierungsstelle Vorteile aus der Verletzung des Datesnchutzes gezogen hat; ob eine Verletzung fortbesteht; ob eine Verletzung, die nicht dem aufnehmenden Unternehmen zuzurechnen ist, vor einer Übernahme stattgefunden hat (einschlägig bei Unternehmenstransaktionen).
Gemäß Art. 76 (4) Staatsgesetz 3/2018 wird die Identität des bestraften Unternehmens veröffentlicht, wenn es sich um eine juristische Person handelt, die Geldbuße höher als 1.000.000 € ist und die AEPD die zuständige Behörde des Bußgeldverfahrens ist.