Wie schnell müssen Unternehmen bei Datenschutzverstößen mit Bußgeldern rechnen? Die Frage, ob hierfür Leitungspersonen schuldhaft handeln müssen oder ein objektiver Pflichtverstoß ausreicht, ist heftig umstritten. Nun ist der EuGH am Zug.
Das Datenschutzrecht gehört zu den Rechtsgebieten, in denen Verstöße den Unternehmen richtig weh tun können. In den letzten Jahren verhängten Datenschützer verschiedene drastische Geldbußen, z.B. 14,5 Mio € gegen die Deutsche Wohnen oder 210 Mio € gegen Google und Facebook in Frankreich. Obwohl seit Geltung der Datenschutzgrundverordnung (DSGVO) seit Mai 2018 einige Zeit vergangen ist, sind bislang jedoch zahlreiche Problemfelder ungeklärt, das betrifft auch die Geldbußen.
Besonders praxisrelevant ist insbesondere die Frage, ob das deutsche Haftungskonzept für juristische Personen gilt und damit auch § 30 OWiG anwendbar ist, der eine Bebußung von Unternehmen nur vorsieht, wenn eine Leitungsperson eine fahrlässige oder vorsätzliche Tat begangen hat, die dem Unternehmen zugerechnet werden kann (Rechtsträgerprinzip).
Findet § 30 OWiG hingegen keine Anwendung, weil die Grundsätze des supranationalen Kartellsanktionsrechts für Bußgelder im Datenschutzrecht entsprechend gelten, würde ein objektiver Verstoß gegen Datenschutzrecht ausreichen und Bußgelder könnten direkt gegen das Unternehmen verhängt werden (Funktionsträgerprinzip). Das Kammergericht Berlin (KG) hat die Frage nun, in zweiter Instanz nach der Entscheidung des LG Berlin, dem Europäischen Gerichtshof (EuGH) vorgelegt, der für mehr Klarheit im deutschen Recht sorgen kann.
Eine Frage des Haftungskonzepts
Die Frage, ob § 30 OWiG bei der Verhängung von Bußgeldern Anwendung findet, ist von immenser Bedeutung. Denn es geht um die Voraussetzungen, unter denen eine Geldbuße gegen Unternehmen überhaupt festgesetzt werden kann. Nach dem deutschen Haftungskonzept, konkret § 30 OWiG, sind Geldbußen aufgrund der Notwendigkeit des mindestens fahrlässigen Handelns auf Leitungsebene deutlich schwieriger zu verhängen. Zur Frage haben sich in den letzten Jahren in Literatur und Rechtsprechung zwei entgegenstehende Meinungen herauskristallisiert.
In dem Urteil des LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) hat die Kammer die Auffassung vertreten, dass die Verhängung eines Bußgeldes gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt wird. § 30 OWiG fände keine Anwendung. Vielmehr würden Bußgeldverstöße unmittelbar auf Rechtsgrundlage von Art. 83 Abs. 4 - Abs. 6 DSGVO geahndet, bei deren Anwendung entsprechend auf die Grundsätze des supranationalen Kartellrechts abzustellen sei.
Das Gericht begründet seine Auffassung im Wesentlichen mit dem Anwendungsvorrang der DSGVO sowie dem Wirksamkeitsgrundsatz des Europarechts („effet utile“), der eine Einschränkung auf nationaler Ebene und damit einhergehenden divergierenden Sanktionspraxis in den Mitgliedsstaaten nicht erlaube. Es komme also im Rahmen des Art. 83 DSGVO nicht darauf an, welche natürliche Person für den Verband gehandelt hat (unmittelbare Verbandshaftung sui generis – Geltung des Funktionsträgerprinzips). Folglich bedürfe es auch keiner Kenntnis oder gar Anweisung der Geschäftsführung oder einer Aufsichtspflichtverletzung. Das objektive Vorliegen eines Verstoßes irgendeines Mitarbeiters sei ausreichend.
Landgerichte sind sich über Haftungskonzept uneins
Das LG Berlin sieht das anders. Das Gericht stellte ein OWi-Verfahren für die Verhängung einer Geldbuße in Höhe von 14,5 Mio € durch die Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) gegen die Deutsche Wohnen SE ein. (Urt. v. 18. 2. 2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20)).
Nach Ansicht des LG Berlin schließen Art. 83 Abs. 4 - 6 DSGVO eine Anwendung von § 30 OWiG nicht aus, sodass es für eine Sanktionierung einer juristischen Person zwingend einer vorwerfbar begangenen Handlung durch eine natürliche Person bedarf, die der juristischen Person zugerechnet werden kann (Geltung des Rechtsträgerprinzips). Nach Ansicht des LG Berlin könne es damit keine unmittelbare Haftung von Unternehmen wegen des Datenschutzverstoßes als solchen geben. Ein Bußgeld könne nur verhängt werden, wenn eine Leitungsperson – und nicht irgendein Mitarbeiter – einen Verstoß gegen die DSGVO zu verantworten hat und der Umstand durch die Aufsichtsbehörde nachgewiesen und im Bußgeldbescheid aufgeführt werden muss.
Kammergericht befragt den EuGH
Da angesichts der unterschiedlich ausfallenden Gerichtsentscheidungen somit Zweifel über die Auslegung von Art. 83 DSGVO (einer Norm aus dem Unionsrecht) bestehen und damit die Zuständigkeit des Gerichtshofs der Europäischen Union (EuGH) begründet wird, hat das KG vor kurzem den Fall zur Klärung im Vorabentscheidungsverfahrens (Art. 267 AEUV) vorgelegt (Beschl. v. 6.12.2021 – 3 Ws 250/21). Das KG fasst die Standpunkte, einschließlich der genannten Argumente, umfangreich zusammen und gibt mit seiner Entscheidung einen lesenswerten Einblick in den aktuellen Diskussionsstand. Zugleich lässt das KG klar durchblicken, dass es der Ansicht zuneigt, § 30 OWiG sei nicht anwendbar und es bestehe eine direkte Unternehmenshaftung.
Das KG will vom EuGH nun vor allem geklärt wissen, ob die strengen Voraussetzungen des Ordnungswidrigkeitenrechts gelten oder bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreicht.
Fällt die Voraussetzung des Verschuldens bei der Unternehmenshaftung?
Wird der EuGH das im deutschen Recht geltende Haftungskonzept in Bezug auf DSGVO-Bußgelder aus den Angeln heben? Danach ist vorwerfbares Verhalten Grundlage für ein Bußgeld. Daran wollte auch das LG Bonn, welches sich in der erwähnten Entscheidung für eine Direkthaftung der Unternehmen aussprach, nicht ganz vorbei. Widersprüchlich verzichtet es nicht ganz auf das Vorliegen eines vorwerfbaren Verhaltens, sondern führt aus, dass die Betroffene „schuldhaft gegen Art. 32 Abs. 1 DSGVO verstoßen“ habe und das Unternehmen „[i]m Sinne einer Tatsachenkenntnis […] vorsätzlich“ gehandelt habe. Letztlich geht das LG insgesamt wohl von einem fahrlässigen Verstoß aus. Für einen schuldhaften (vorsätzlichen/fahrlässigen) Verstoß bedarf es aber der Feststellung eines Verhaltens einer natürlichen Person, sei es in Bezug auf eigene Taten oder auch Organisations-/Aufsichtspflichten.
Zwar handelt es sich bei der DSGVO nicht um nationales Recht. Gleichwohl könnte eine Entscheidung, nach der eine Geldbuße auch ohne Verschulden auf der Leitungsebene möglich wäre, eine Art Vorbote sein. Vorbote dafür, dass es auch in einem zukünftigen Verbandssanktionengesetz zu einer Sanktionierung ohne Verschulden auf der Leitungsebene im Hinblick auf die Überwachung und Organisation kommen könnte.
Dr. Anja Stürzl, LL.M. ist Rechtsanwältin in der Sozietät Flick Gocke Schaumburg am Standort Frankfurt. Dr. Matthias Lachenmann ist Rechtsanwalt in der Kanzlei BHO Legal PartG mbB und Datenschutzbeauftragter (UDISzert) bei der BHO Consulting GmbH, Köln.
Kammergericht zu Datenschutz-Bußgeldern: . In: Legal Tribune Online, 21.01.2022 , https://www.lto.de/persistent/a_id/47291 (abgerufen am: 24.11.2024 )
Infos zum Zitiervorschlag