DSGVO: Strafmilderungsgründe bei Geldbußen

Art. 83 DSGVO legt die Grundsätze für die Verhängung von Geldbußen aufgrund von Datenschutzverstößen zentral fest. Die Durchführung der Bebußung obliegt hingegen dezentral den Datenschutzaufsichtsbehörden. Diese haben die Aufgabe, die Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend festzusetzen.
Neu: Der Adressat der Geldstrafe ändert sich
Nach dem Bußgeldsystem des Bundesdatenschutzgesetzes (BDSG) war vorrangiger Adressat der Geldbuße die individuell handelnde Person. Die Verhängung von Geldbußen gegen das Unternehmen als verantwortliche Stelle setzte immer voraus, dass eine Verfehlung eines leitenden Angestellten vorliegt.
Diese Verfehlung kann der Datenschutzverstoß an sich sein (§ 30 Ordnungswidrigkeitengesetz – OWiG). Alternativ kommt auch ein Organisationsverschulden (Verletzung einer Kontroll- oder Aufsichtspflicht) im Sinne des § 130 OWiG als Anknüpfungstat nach § 30 OWiG in Betracht. Mit diesem Konzept bricht die DSGVO.