2025-0.699.550 – Datenschutzbehörde Entscheidung
Text
GZ: 2025-0.699.550 vom 4. September 2025 (Verfahrenszahl: DSB-D550.1221)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
Straferkenntnis
Beschuldigte: A*** GmbH (FN *0*271*h)
Die beschuldigte juristische Person mit Sitz in **** L***berg, M***platz *6/*2, hat als Verantwortliche im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung begangen:
Die Beschuldigte hat im Zeitraum vom 31.01.2025 bis 01.05.2025 innerhalb des Bundesgebietes Österreich gegen ihre Pflicht als Verantwortliche nach Art. 33 Abs. 1 DSGVO verstoßen, indem sie nach Kenntnis vom Vorfall über eine Verletzung des Schutzes personenbezogener Daten im Rahmen einer von ihr betriebenen Webseite unter „ https://h***.a***.at/ “ keine entsprechende Meldung im Sinne des Art. 33 Abs. 3 DSGVO unverzüglich und möglichst binnen 72 Stunden an die Datenschutzbehörde als zuständige Aufsichtsbehörde erstattet hat. Der Ausnahmetatbestand gemäß Art. 33 Abs. 1 DSGVO (Kein Risiko für die Rechte und Freiheiten natürlicher Personen) lag nicht vor.
Verwaltungsübertretung nach:
Art. 33 Abs. 1 iVm Art. 83 Abs. 1 und 4 lit. a DSGVO ABl. L 2016/119, S. 1, idgF
Wegen dieser Verwaltungsübertretung wird gemäß Art. 83 DSGVO folgende Strafe verhängt:
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:
87,-
Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher
957,-
Euro
Zahlungsfrist:
Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [hier gekürzt] lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden .
Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .
Begründung:
1. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:
1.1. Die Beschuldigte ist eine Gesellschaft mit beschränkter Haftung und übt seit 13.11.2015 das freie Gewerbe „ Werbeagentur “ aus. Hierfür betreibt sie eine Webseite, die unter „https://www.a***.at/“ (Hauptdomain) abrufbar ist.
1.2. Die Beschuldigte betreibt zudem eine Subdomain, die unter „ https://h***.a***.at/ “ abrufbar ist. Dadurch können beispielweise interne Projekte von der Hauptdomain getrennt werden. Die Beschuldigte nutzte diese Domain konkret als „ Development Server “.
1.3. Die Beschuldigte wurde erstmals von einer bisher unbekannten Person zu einem nicht näher feststellbaren Zeitpunkt, jedoch jedenfalls im Januar 2025 und somit zumindest seit dem 31.01.2025, über eine Sicherheitslücke im Rahmen dieser Subdomain informiert.
1.4. Durch diese Lücke war ein Zugang durch unbefugte Personen auf personenbezogene Daten, die von der Beschuldigten aufbewahrt wurden (konkret Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, Geschlecht, Telefonnummern, Unternehmenszugehörigkeit, Postleitzahlen), möglich. Zusammengefasst war das „ File Directory “ über die genannte Domain ungesichert zugänglich, wodurch das Herunterladen der auf dem „ Development Server “ befindlichen Daten möglich war.
1.5. Dieser erste Hinweis per E-Mail an die Beschuldigte wurde zwar empfangen, jedoch von einer Arbeitnehmerin der Beschuldigten als eine Spam-Nachricht gewertet und daher auch nicht weiter berücksichtigt. Es erfolgte demnach auch keine interne Weiterleitung an die Geschäftsführung oder an die IT-Abteilung.
1.6. Da keine Maßnahmen im Zusammenhang mit dieser Sicherheitslücke ergriffen wurden, erfolgte am 16.02.2025 erneut ein Hinweis an die Beschuldigte durch einen Vertreter des „ B*** IKT-Klubs “ (in Folge „B***“). Der Vertreter hat konkret per E-Mail an „ office@a***.at “ mit dem Betreff „ IT-Sicherheitslücke erlaubt Zugriff auf Kundendaten “ die Beschuldigte über die mögliche Sicherheitsverletzung personenbezogener Daten informiert. Diese E-Mail-Nachricht des B*** wurde zeitgleich in Kopie an die Datenschutzbehörde (in Folge „DSB“) übermittelt.
1.7. Der Hinweis vom B*** wurde schließlich an die Geschäftsführung der Beschuldigten weitergeleitet und es wurde noch am selben Tag die IT-Abteilung mit einem „ Emergency-Ticket “ beauftragt, um die behauptete Sicherheitslücke näher zu beleuchten und gegebenenfalls Maßnahmen zu ergreifen. Die Beschuldigte schloss daraufhin die Lücke. Der Vertreter des B***, dem der Zugang zu den Daten möglich war, bestätigte gegenüber der Beschuldigten, dass er alle heruntergeladenen Daten unwiderruflich gelöscht hat. Abschließend wurde der Vorfall von der IT-Abteilung der Beschuldigten intern dokumentiert.
1.8. Es erfolgte keine Meldung an die DSB durch die Beschuldigte.
1.9. In Reaktion darauf leitete die DSB ein amtswegiges Prüfverfahren zur GZ: D213.3376 ein und forderte sie zur Stellungnahme auf, weil mit keiner Meldung durch die Beschuldigte zu rechnen war.
1.10. Mit E-Mail vom 02.05.2025 informierte die Beschuldigte die DSB erstmals über die festgestellte Sicherheitsverletzung und die von ihr in Reaktion darauf ergriffenen Maßnahmen. Diese Informationen wurden nach einer erneuten Aufforderung der DSB mit E-Mail vom 14.07.2025 ergänzt, weshalb das genannte Verfahren zur Einstellung gebracht werden konnte.
1.11. Gefragt nach der verspäteten Meldung an die DSB gab die Beschuldigte an, dass sie davon ausgegangen sei, die E-Mail des Vertreters vom B*** in Kopie an die DSB am 16.02.2025 sei ausreichend gewesen. Sie folgte daraus, dass eine weitere Meldung an die DSB durch die Beschuldigte nicht erforderlich gewesen sei.
1.12. Die Beschuldigte erzielte im letzten Geschäftsjahr einen weltweiten Jahresumsatz in der Höhe von rund EUR 2.000.000,-.
2. Die Feststellungen werden auf Grund folgender Beweiswürdigung getroffen:
2.1. Die unter Punkt 1. getroffenen Feststellungen ergeben sich im Wesentlichen aus dem Akteninhalt des amtswegigen Prüfverfahrens zur GZ: D213.3376, insbesondere der verfahrenseinleitenden Mail vom 16.02.2025 in Kopie an die DSB und die Stellungnahmen der Verantwortlichen vom 02.05.2025 sowie 14.07.2025. Die Feststellungen zum Sicherheitsvorfall per se und Reaktionsmaßnahmen der Beschuldigten ergaben sich durch die der DSB vorgelegten internen Dokumentation der Beschuldigten vom 16.02.2025
2.2. Die Beschuldigte brachte im Rahmen der schriftlichen Rechtfertigung vom 02.09.2025 im vorliegenden Ermittlungsverfahren keine im Widerspruch zum festgestellten Sachverhalt stehende Stellungnahme ein. Sie bestritt insbesondere nicht, dass sie keine Meldung an die DSB erstattet hat. Sie brachte lediglich in rechtlicher Hinsicht vor, dass sie davon ausgegangen sei, die ursprüngliche Mail des B*** vom 16.02.2025 in Kopie an die DSB sei ausreichend gewesen.
2.3. Die Feststellung unter Punkt 1.1 und 1.2 ergab sich durch eine amtswegige Recherche im Rahmen der genannten Webseite und eine Abfrage im „ Gewerbeinformationssystem Austria “.
2.4. Der unter Punkt 1.3 sowie 1.5 festgestellte Sachverhalt, wonach der Beschuldigten bereits im Januar 2025 ein Hinweis auf die Sicherheitslücke erteilt wurde, ergibt sich unter Berücksichtigung folgender Umstände:
Mit E-Mail vom 29.05.2025 informierte der Vertreter des B*** die DSB zusätzlich darüber, dass eine nicht genannte „ dritte Person “ die Beschuldigte bereits im Januar 2025 über die Sicherheitslücke informiert habe.
Mit Stellungnahme vom 14.07.2025 bestätigte die Beschuldigte in diesem Zusammenhang, dass nach interner Nachforschung der Hinweis im Januar entdeckt worden sei. Dieser Hinweis wurde ursprünglich von einer Mitarbeiterin der Beschuldigten „ fälschlicherweise als Spam eingestuft und daher nicht weiter eskaliert “. Daher sei auch eine Schulung in Reaktion darauf erfolgt, um die Mitarbeiter dahingehend zu sensibilisieren. Das Datum der ersten Mail mit dem Hinweis konnte jedoch nicht festgestellt werden, weshalb davon ausgegangen werden kann, dass die Beschuldigte zumindest seit dem 31.01.2025 Kenntnis über den Vorfall hatte.
2.5. Der festgestellte Jahresumsatz wurde von der Beschuldigten in der schriftlichen Rechtfertigung vom 02.09.2025 dargelegt.
3. Rechtlich folgt daraus:
3.1. Zur objektiven Tatseite:
3.1.1. Nach Art. 33 Abs. 1 DSGVO müssen Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten den Vorfall unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. In Bezug auf die genannte Ausnahme ist die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht zu berücksichtigen (siehe Erwägungsgrund 83, zweiter Satz DSGVO).
3.1.2. Der Unionsgesetzgeber hat gemäß Abs. 3 leg. cit. für eine solche Meldung eine Reihe von obligatorischen Informationen festgelegt, die der Aufsichtsbehörde übermittelt werden müssen. Wenn diese Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung auch schrittweise zur Verfügung stellen.
3.1.3. Die DSB ist für die vorliegende Sicherheitsverletzung die gemäß Art. 55 DSGVO zuständige Aufsichtsbehörde (siehe § 18 Abs. 1 Datenschutzgesetz – DSG).
3.1.4. Die Rolle der Beschuldigten als Verantwortliche gemäß Art. 4 Z 7 DSGVO und eine erfolgte Verletzung des Schutzes personenbezogener Daten nach Z 12 leg. cit. werden in der internen Dokumentation der Beschuldigten vom 16.02.2025 bestätigt und muss an dieser Stelle nicht näher behandelt werden.
3.1.5. Es stellen sich im vorliegenden Fall im Kern die folgenden Fragen ob,
eine Ausnahme für die Meldung an die Aufsichtsbehörde besteht, wenn ein Dritter die Behörde über einen möglichen Vorfall bei einem Verantwortlichen informiert und
ab wann die Beschuldigte konkret Kenntnis vom Vorfall erlangt hat
3.1.6. Zur ersten Frage ist der Beschuldigten zu entgegnen, dass eine solche Ausnahme aus dem Wortlaut der einschlägigen Bestimmung in Art. 33 DSGVO nicht entnommen und auch durch keine sonstige Auslegung angenommen werden kann. Der Unionsgesetzgeber hat nur eine einzelne Ausnahme normiert, wenn die Sicherheitsverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
3.1.7. Wenn eine dritte Person die DSB über einen Vorfall informiert, handelt es sich hierbei um eine Verdachtsmeldung bzw. Sachverhaltsanzeige. Der Verdacht einer Sicherheitsverletzung kann nur vom Verantwortlichen nach einer internen Prüfung bestätigt oder widerlegt werden. Außerdem muss vom Verantwortlichen im Zuge der Meldung nicht nur der bestätigte Vorfall beschrieben, sondern auch die in Reaktion darauf ergriffenen Maßnahmen dargelegt werden (siehe Art. 33 Abs. 3 lit. d DSGVO).
3.1.8. Unter diesen Gesichtspunkten kann nicht angenommen werden, dass die zuständige Aufsichtsbehörde sich mit der Meldung einer dritten Person über eine mögliche Sicherheitsverletzung zufrieden zu geben hat und daher keine Meldung (mehr) durch die Verantwortliche erforderlich sei. Nur durch die Meldung der Verantwortlichen kann die Aufsichtsbehörde ihren gesetzlich übertragenen Aufgaben ordnungsgemäß nachkommen.
3.1.9. In Bezug auf die zweite Frage ist der Beschuldigten entgegenzuhalten, dass sie nicht erstmals mit E-Mail des B*** vom 16.02.2025 Kenntnis von der Sicherheitsverletzung erlangt hat, sondern bereits durch den ersten Hinweis im Januar 2025, welcher von einer Mitarbeiterin als „ Spam-Nachricht “ eingestuft wurde (der konkrete Zeitpunkt war nicht näher feststellbar, konnte aber zumindest mit 31.05.2025 [Anmerkung Bearbeiter/in: offenkundiger Redaktionsirrtum, gemeint ist wohl der 31.01.2025] angenommen werden, weil der Monat von der Beschuldigten bestätigt wurde).
3.1.10. Die Beschuldigte übersieht hierbei, dass das Verhalten ihrer Arbeitnehmerin ihr unmittelbar zugerechnet wird. Für die Strafbarkeit nach Art. 83 DSGVO ist im Falle einer juristischen Person nämlich keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans erforderlich (vgl. EuGH vom 05.12.2023, C-807/21, Rz. 77; siehe auch VwGH 29.07.2025, Ro 2022/04/0017, wonach ein allfälliges Fehlverhalten eines Mitarbeiters im Rahmen seiner dienstlichen Aufgaben der Organisation und nicht dem Mitarbeiter zuzurechnen ist).
3.1.11. Mit anderen Worten: Der Umstand, dass der erste Hinweis von einer Arbeitnehmerin als Spam-Nachricht verworfen und der Geschäftsführung der Beschuldigten nicht mitgeteilt wurde, ist für die Strafbarkeit irrelevant. Somit hat die Beschuldigte über die ihr unmittelbar zuzurechnenden Arbeitnehmerin zumindest seit dem 31.01.2025 Kenntnis von der Sicherheitsverletzung erlangt und hat eine Meldung an die DSB gemäß Art. 33 Abs. 1 DSGVO bis zur ersten Stellungnahme vom 02.05.2025 unterlassen.
3.1.12. Der Ausnahmetatbestand nach Art. 33 Abs. 1 DSGVO (= kein Risiko für die Rechte und Freiheiten natürlicher Personen) ist im vorliegenden Fall nicht einschlägig.
3.1.13. Gemessen daran hat die Beschuldigte die objektive Tatseite der Strafbestimmung des Art. 83 Abs. 4 lit. a DSGVO verwirklicht.
3.2. Zur subjektiven Tatseite:
3.2.1. Für die Strafbarkeit nach Art. 83 DSGVO ist Vorsatz oder zumindest Fahrlässigkeit erforderlich. Fahrlässigkeit liegt bereits dann vor, wenn der Verantwortliche sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (vgl. EuGH vom 05.12.2023, C-807/21, Rz. 76).
3.2.2. Der Beschuldigten ist im vorliegenden Fall Fahrlässigkeit vorzuwerfen:
Zunächst war es fahrlässig, den ersten Hinweis auf die Sicherheitsverletzung ohne weitere Behandlung als „ Spam-Nachricht “ zu werten und daher intern nicht weiterzuleiten (zur Zurechnung des Verhaltens der Arbeitnehmerin siehe oben). Es ist aber auch als Fahrlässigkeit zu werten, dass intern erst nach diesem Vorfall Maßnahmen in Form von Schulungen ergriffen wurden, um sicherzustellen, dass solche Hinweise unmittelbar der Geschäftsführung zu melden sind.
Unabhängig davon ist der Beschuldigten auch Fahrlässigkeit vorzuwerfen, weil sie – ohne sich dabei rechtlich zu erkundigen (zur Erkundigungspflicht vgl. BVwG vom 27.03.2024, W214 2243436-1) – davon ausgegangen ist, der Hinweis vom Vertreter des B*** am 16.02.2025 bzw. in Kopie als Anzeige an die DSB sei ausreichend gewesen, um die Beschuldigte von der Pflicht einer Meldung nach Art. 33 Abs. 1 DSGVO zu befreien.
Es lagen im Tatzeitraum mehrere (öffentlich verfügbare) Informationen im Zusammenhang mit der Meldeverpflichtung vor wie beispielsweise die Leitlinien 01/2021 des Europäischen Datenschutzausschusses (EDSA) zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten oder die Informationen über die Pflichten von Verantwortliche auf der Webseite der DSB unter „ https://dsb.gv.at/rechte-pflichten/ihre-pflichten-als-verantwortlicher “ (siehe hierbei insbesondere „ Data Breach Meldung “ mit unverbindlich zur Verfügung gestellte Formulare). Darüber hinaus hat auch der EDSA einen „Datenschutzleitfaden für kleine Unternehmen“ öffentlich in deutscher Sprache unter „ https://www.edpb.europa.eu/sme-data-protection-guide/home_de “ zur Verfügung gestellt. Dabei wird insbesondere die Reaktion im Falle einer Sicherheitsverletzung konkret dargelegt.
Auch durch den klaren Wortlaut des Art. 33 Abs. 1 DSGVO konnte sich die Beschuldigte über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein. Es wird in dieser Bestimmung die von der Beschuldigten angenommene Ausnahme nicht genannt.
3.2.3. Der Beschuldigten wäre es möglich und zumutbar gewesen, sich über ihre Pflichten als Verantwortliche zu informieren und rechtskonform zu verhalten. Die subjektive Tatseite ist ebenfalls erfüllt.
4. Zur Strafzumessung ist Folgendes festzuhalten:
4.1.1. Gemäß Art. 83 Abs. 1 DSGVO hat die DSB sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Art. 83 Abs. 2 DSGVO, dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.
4.1.2. Die DSB hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“) zur Anwendung gebracht.
4.1.3. In Anbetracht der Fines-Leitlinien wird die Beschuldigte unter Berücksichtigung des festgestellten Jahresumsatzes und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße in die niedrigste Kategorie „ Unternehmen mit einem Umsatz von bis zu 2 Mio. EUR “ eingestuft.
4.1.4. Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der oben bereits näher behandelten Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 1 lit. a DSGVO), wobei die Dauer unter Berücksichtigung, dass eine Meldung unverzüglich und möglichst binnen 72 Stunden zu erfolgen hat, ins Gewicht gefallen ist; der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO), wobei die Fahrlässigkeit als neutral zu bewerten war; der Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO), wobei die Tatsache, dass nicht besondere Kategorien betroffen waren nur als neutral gewertet werden konnte; wird von der DSB die Schwere der Zuwiderhandlung („seriousness of the infringement“) im Ergebnis mit einem geringen Schweregrad festgelegt und ein Startbetrag konkret in Höhe von EUR 300.000 für die weitere Berechnung zu Grunde gelegt. Dieser Betrag befindet sich aufgrund der hier vorliegenden Umstände am unteren Ende der Spanne für Verstöße mit einem „geringen Schweregrad“.
4.1.5. In Folge wurde die Unternehmensgröße bzw. wirtschaftliche Leistungsfähigkeit im Sinne der Leitlinien berücksichtigt und eine Anpassung auf 0,4% des Ausgangsbetrags vorgenommen, um insbesondere die Verhältnismäßigkeit der Geldbuße nach Art. 83 Abs. 1 DSGVO sicherzustellen.
4.1.6. Es liegen über die bereits für die Feststellung des Schweregrades berücksichtigenden Umstände keine weiteren erschwerenden Strafbemessungsgründe vor. Der Betrag wurde schließlich aufgrund der untenstehenden Milderungsgründe reduziert:
- Gegen die Beschuldigte liegen bei der DSB keinerlei einschlägige frühere Verstöße gegen die DSGVO vor (Art. 83 Abs. 2 lit. e DSGVO).
- Die Beschuldigte hat im Rahmen des gegenständlichen Ermittlungsverfahrens mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet (Art. 83 Abs. 2 lit. f und k DSGVO).
- Die Beschuldigte hat sich nach der Aufforderung zur Stellungnahme im amtswegigen Prüfverfahren rechtskonform verhalten und die von der DSB verlangten Informationen zur Verfügung gestellt, wodurch das Prüfverfahren in Bezug auf die Sicherheitsverletzung zur Einstellung gebracht werden konnte (Art. 83 Abs. 2 lit. f und k DSGVO)
4.1.7. Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden (vgl. VwGH 15.05.1990, 89/02/0093, VwGH 22. 04. 1997, 96/04/0253, VwGH 29.01.1991, 89/04/0061). Auch nach Art. 83 Abs. 1 DSGVO muss sichergestellt werden, dass jede Geldbuße durch die DSB für festgestellte Verstöße wirksam und abschreckend ist.
4.1.8. Somit kann im Sinne dieser Voraussetzungen die Geldbuße im Einzelfall nochmals erhöht oder reduziert werden.
4.1.9. Die Verhängung einer Geldbuße war aufgrund spezialpräventiver Gründe erforderlich, um die Beschuldigte künftig von ähnlich gelagerten Verwaltungsübertretungen abzuhalten, weil sie nach wie vor die Ansicht vertritt, dass neben der Anzeige durch einen Dritten die Meldung durch einen Verantwortlichen nicht erforderlich sei. Aber auch aus generalpräventiven Überlegungen war eine Geldbuße erforderlich und wurde der letztendlich festgelegte Betrag erhöht, um Verantwortliche über ihre Pflichten im Zusammenhang mit der unverzüglichen Meldung von Sicherheitsverletzungen nach Art. 33 Abs. 1 DSGVO an die DSB als zuständige Aufsichtsbehörde zu sensibilisieren. Die abschreckende Wirkung musste sichergestellt werden.
4.1.10. Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 870,- erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 5 DSGVO (hier bis zu EUR 20.000.000) [Anmerkung Bearbeiter/in: offenkundiger Redaktionsirrtum, gemeint ist hier wohl Art. 83 Abs. 4 DSGVO] tat- und schuldangemessen und befindet sich am untersten Ende des zur Verfügung stehenden Strafrahmens. Ein (noch) niedrigerer Betrag würde den Voraussetzungen der Wirksamkeit und Abschreckung nach Art. 83 Abs. 1 DSGVO nicht (mehr) gerecht werden.