25. Januar 2018

DSGVO: Strafmilderungsgründe bei Geldbußen

DP+

Bild: Lightboxx / iStock / Thinkstock

0,00 (0)

Parallelen zum bestehenden Recht

Die horrenden Geldbußen der DSGVO haben für schlaflose Nächte bei manchen Unternehmern gesorgt. Etwas Beruhigung könnte ein Urteil des BGH zu Compliance-Management-Systemen bringen. Es lässt sich auf die zukünftige Praxis der Aufsichtsbehörden übertragen, ebenso wie einige andere, schon vorhandene Regelungen.

Art. 83 DSGVO legt die Grundsätze für die Verhängung von Geldbußen aufgrund von Datenschutzverstößen zentral fest. Die Durchführung der Bebußung obliegt hingegen dezentral den Datenschutzaufsichtsbehörden. Diese haben die Aufgabe, die Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend festzusetzen.

Neu: Der Adressat der Geldstrafe ändert sich

Nach dem Bußgeldsystem des Bundesdatenschutzgesetzes (BDSG) war vorrangiger Adressat der Geldbuße die individuell handelnde Person. Die Verhängung von Geldbußen gegen das Unternehmen als verantwortliche Stelle setzte immer voraus, dass eine Verfehlung eines leitenden Angestellten vorliegt.

Diese Verfehlung kann der Datenschutzverstoß an sich sein (§ 30 Ordnungswidrigkeitengesetz – OWiG). Alternativ kommt auch ein Organisationsverschulden (Verletzung einer Kontroll- oder Aufsichtspflicht) im Sinne des § 130 OWiG als Anknüpfungstat nach § 30 OWiG in Betracht. Mit diesem Konzept bricht die DSGVO.

Zwar bleibt es bei der Möglichkeit der Bebußung von natürlichen Personen. Bei der Bebußung von Unternehmen ist jedoch nicht mehr der Umweg über §§ 30, 130 OWiG nötig.

Vielmehr sieht die DSGVO eine unmittelbare Verbandsverantwortlichkeit vor. Danach kann die Aufsicht ein Unternehmen direkt bebußen, wenn ein Mitarbeiter einen Datenschutzverstoß begeht.