DSGVO: Strafmilderungsgründe bei Geldbußen

Art. 83 DSGVO legt die Grundsätze für die Verhängung von Geldbußen aufgrund von Datenschutzverstößen zentral fest. Die Durchführung der Bebußung obliegt hingegen dezentral den Datenschutzaufsichtsbehörden. Diese haben die Aufgabe, die Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend festzusetzen.
Neu: Der Adressat der Geldstrafe ändert sich
Nach dem Bußgeldsystem des Bundesdatenschutzgesetzes (BDSG) war vorrangiger Adressat der Geldbuße die individuell handelnde Person. Die Verhängung von Geldbußen gegen das Unternehmen als verantwortliche Stelle setzte immer voraus, dass eine Verfehlung eines leitenden Angestellten vorliegt.
Diese Verfehlung kann der Datenschutzverstoß an sich sein (§ 30 Ordnungswidrigkeitengesetz – OWiG). Alternativ kommt auch ein Organisationsverschulden (Verletzung einer Kontroll- oder Aufsichtspflicht) im Sinne des § 130 OWiG als Anknüpfungstat nach § 30 OWiG in Betracht. Mit diesem Konzept bricht die DSGVO.
Zwar bleibt es bei der Möglichkeit der Bebußung von natürlichen Personen. Bei der Bebußung von Unternehmen ist jedoch nicht mehr der Umweg über §§ 30, 130 OWiG nötig.
Vielmehr sieht die DSGVO eine unmittelbare Verbandsverantwortlichkeit vor. Danach kann die Aufsicht ein Unternehmen direkt bebußen, wenn ein Mitarbeiter einen Datenschutzverstoß begeht.
Unternehmen haftet nun für Fehler der Mitarbeiter
Es handelt sich somit faktisch um ein Haftungskonzept, wonach das Unternehmen für Fehler der Mitarbeiter haftet.
Dem liegt zwar auch der Gedanke zugrunde, dass sich das Unternehmen so zu organisieren hat, dass es…