Die Datenschutz-Aufsichtsbehörden sind beauftragt, die Anwendung der Datenschutzvorschriften zu überwachen. Dafür haben sie weitreichende Befugnisse. So haben sie z. B. das Recht auf Einholung aller für die Erfüllung des Kontrollauftrags erforderlichen Informationen, können Verwarnungen aussprechen, Anordnungen zur Änderung oder Unterlassung aussprechen und Bußgelder verhängen.
Im Prinzip sind alle Verstöße gegen die DS-GVO bußgeldbewehrt. Die DS-GVO legt als Obergrenze 20 Mio. Euro oder - sofern höher - 4% des weltweiten Konzernvorjahresumsatzes fest. Die deutschen Aufsichtsbehörden bemessen die Bußgeldhöhe für Unternehmen grundsätzlich nach dem weltweiten Konzernvorjahresumsatz in Abhängigkeit der Schwere des Verstoßes und Berücksichtigung strafmindernder und -erhöhender Faktoren.
Bußgelder gegen Personen sind ebenfalls möglich.
Daneben können Verstöße gegen die DS-GVO auch zivilrechtlich sanktioniert sein. So kann bspw. ein Betroffener Schadenersatzansprüche geltend machen.