Wer ist der Adressat von DS-GVO-Geldbußen?

Vor einem knappen Jahr hat das In-Geltung-Treten der DS-GVO noch zu regem Treiben in der Beratungsbranche geführt. Allen voran Unternehmensberatungen und Rechtsanwaltskanzleien, aber auch IT-Unternehmen, haben sich dem Thema Datenschutz-Konformität gewidmet und unterschiedliche Lösungen bis hin zu eigenen Apps (Stichwort: "GDPR Support") entwickelt. Der große Hype war aber keineswegs der Tatsache geschuldet, dass erstmals ein europaweit einheitliches und unmittelbar anwendbares Datenschutzrecht gilt, sondern vielmehr der Strafbefugnis der Datenschutzbehörde (im Folgenden kurz "DSB"). Die exorbitante Höhe der Geldbußen von bis zu € 20 Mio oder 4 % des Umsatzes¹¹Siehe Art 83 Abs 4 oder Abs 5 DS-GVO; abhängig davon, gegen welche Bestimmung verstoßen wurde. bedarf keiner neuerlichen Erwähnung, führt aber zum verständlichen Ziel von Geschäftsführung und Vorstand, sich rechtskonform zu verhalten. Dass die Verhängung von derart hohen Verwaltungsstrafen durch eine Verwaltungsbehörde verfassungsrechtlich zulässig ist, steht inzwischen außer Frage.²²VfGH 13. 12. 2017, G 408/2016, Dako 2018/10, 17 (Schweiger) = AnwBl 2018/96, 326 (Hollaender) = jusIT 2018/29, 79 (Jahnel) = ÖZK 2018, 69 (Schwarz): Die FMA hatte gegen mehrere Kreditinstitute auf der Grundlage von § 99d BWG hohe Geldstrafen verhängt, das BVwG hat dem VfGH § 99d BWG vorgelegt und dieser wies den Antrag ab, womit die verfassungsrechtliche Zulässigkeit bestätigt wurde. Doch wie läuft so ein Verfahren ab und gegen wen werden die Geldbußen verhängt? Nur gegen das Unternehmen oder auch gegen die Geschäftsführer bzw Vorstände? Hat die DSB hier überhaupt ein Ermessen? Und wird bei einem erstmaligen Verstoß immer verwarnt?