Gerade das Thema Strafen wird im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO) seit jeher heiß diskutiert. Die Datenschutzbehörde ist bekanntlich bemächtigt, bei Verstößen gegen bestimmte Regelungen der DSGVO Geldstrafen in einer Höhe von bis zu € 20.000.000 bzw. 4% des weltweiten Konzernjahresumsatzes über ein Unternehmen zu verhängen. Der höchstmögliche Strafmaß ist also rechtlich klar definiert, nun stellt sich allerdings die Frage, unter welchen Umständen die Datenschutzbehörde dieses voll ausschöpfen wird.
Die Strafen sollen in jedem Fall wirksam und abschreckend, aber auch verhältnismäßig sein. Der nationale Gesetzgeber hat im Datenschutz-Deregulierungsgesetz versucht, der Strafdrohung der DSGVO insofern den Schrecken zu nehmen, als die Datenschutzbehörde per Gesetz dazu angehalten werden soll, erst zu verwarnen und dann zu strafen.
So weit so gut, wenn da nicht das kleine Wörtchen „insbesondere“ wäre. Dieses Wort schließt nämlich gerade nicht aus, dass die Datenschutzbehörde direkt Geldbußen verhängt, ohne vorab eine Verwarnung auszusprechen. Vielmehr schreibt das Gesetz damit etwas fest, das die DSGVO ohnehin schon vorsieht. Die Datenschutzbehörde muss nicht zwingend Geldstrafen verhängen, sondern kann stattdessen von den ihr an die Hand gegebenen Befugnissen gemäß Art. 58 DSGVO Gebrauch machen (oder diese beiden Instrumente kombinieren).
Mehr dazu können Sie im Artikel „Verwarnen statt strafen“ erschienen im Online-Magazin Fonds Professionell oder auch im Buch „Datenschutz in der Praxis“ nachlesen.