Ein alter (und vielleicht der wichtigste) Grundsatz wenn es um das Thema Strafen geht lautet: In dubio pro reo!
Übersetzt heißt das "Im Zweifel für den Angeklagten!" und für jeden dem das noch immer nichts sagt kann man hier auch von der Unschuldsvermutung sprechen.

Was bedeutet das

Wie der Name schon suggeriert besagt dieser Grundsatz, dass ein Schuldspruch (womit in der Regel auch eine Strafe verbunden ist) nur erfolgen darf wenn der Sachverhalt und das Verschulden des Angeklagten zweifelsfrei feststeht. In einem Strafverfahren bewirkt dieser Grundsatz, dass die Anklage(behörde) eine Strafe nicht nach Gutdünken verhängen kann/darf, sondern zuvor den Sachverhalt gründlich ermitteln muss und die Schuld beweisen muss. Die - sogenannte - Beweislast liegt somit bei der (staatlichen) Anklage(behörde).

Wie ist das bei der DSGVO

Hinsichtlich der DSGVO wird dieses Prinzip durch die "Rechenschaftspflicht" nach Art 5 Abs 2 DSGVO auf den ersten Blick ein wenig durchbrochen. Dort wird nämlich normiert, dass den Verantwortlichen hinsichtlich der Einhaltung des Datenschutzes eine Nachweispflicht (Rechenschaftspflicht) trifft. Was das genau bedeutet weiß niemand so genau. Jedenfalls heißt es mal, dass man als Verantwortlicher dazu verpflichtet ist seine Datenverarbeitungen und Sicherheitsmaßnahmen umfassend (also mit Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzungen, IT-Sicherheitskonzept etc... etc...) zu dokumentieren.

Davon abgesehen wird allerdings auch diskutiert, ob diese Bestimmung eine Beweislast-Umkehr (zulasten des Verantwortlichen) bedeutet. Dies würde zumindest defacto bedeuten, dass nicht mehr die Behörde ein Verschulden nachzuweisen hat, sondern umgekehrt, dass der Verantwortliche beweisen muss, dass keines vorliegt.
Dass solch eine Sichtweise für eine Aufsichtsbehörde natürlich komfortabler wäre liegt auf der Hand.

Wie sieht das Rheinland-Pfalz

Vor Kurzem wurde diese Frage im schönen Rheinland-Pfalz von der dortigen Aufsichtsbehörde sowie dem Verwaltungsgericht Mainz diskutiert:

Dort wurden nämlich von einem Anwalt unverschlüsselte E-Mails für die Kommunikation mit seinen Mandanten verwendet.

Anmerkung am Rande: gemeint ist hier eine Ende-zu-Ende Verschlüsselung. So klar bei Verstand, dass man im Jahr 2020 eine Transportverschlüsselung nimmt, war auch der Anwalt. Aber mal ganz ehrlich: das ausgelutschte Thema Verschlüsselung von E-Mails interessiert uns in diesem Beitrag mal dezent sowas von gar nicht!

Langer Rede kurzer Sinn: die Aufsichtsbehörde war damit nicht einverstanden und sprach kurzerhand von eine Verwarnung aus. Begründet wurde dies damit - lapidar formuliert - damit, dass man davon ausgehen kann, dass Kommunikation mit Mandanten "sensibel" sei und man hier auf keinen Fall nur mit Transport-Verschlüsselung arbeiten kann. Hiergegen hat dann der Anwalt den Rechtsweg eingeschlagen und sich an die nächste Instanz in Form des VG Mainz gewandt. Dieses hat - neben diversen Aussagen zum Thema E-Mail-Verschlüsselung - sich auch zur Rechenschaftspflicht und dem Thema Beweislast-Umkehr geäußert:

Was sagt das VG Mainz

So rügte das VG Mainz, dass es nicht ausreicht, wenn die Aufsichtsbehörde mal eben so pauschal behauptet/annimmt, dass hier "sensible" Daten involviert sind, ohne dass vorher zu prüfen. Zwar ist man als Verantwortlicher gemäß Art 5 Abs 2 (iVm Art 32 DSGVO) verpflichtet die Einhaltung des Datenschutzes zu dokumentieren, jedoch bedeutet diese Rechenschaftspflicht nicht, dass die Behörde auf Ermittlungen verzichten und stattdessen Annahmen treffen darf. Eine solche Vorgehensweise ist nämlich nicht von Art 5 Abs 2 DSGVO gedeckt und widerspricht im Übrigen auch dem Amtsermittlungsgrundsatz.

Sollte man daher jemals einen (erst-instanzlichen) Strafbescheid einer Behörde zugestellt bekommen, dann ist man gut beraten wenn man es wie der "Dude" aus Big Lebowski annimmt und sich mal denkt "Yeah, well, that's just like your opinion, man!" und den Weg in die zweite Instanz beschreitet.