Der Erlass eines Bußgeldbescheides gegen ein Unternehmen aufgrund eines Datenschutzverstoßes stellt die Behörden seit jeher vor Probleme. Zwar sieht Art. 83 DSGVO als „Schreckensnorm des europäischen Datenschutzrechts“ (Niko Härting „DSGVO-Bußgelder gegen Unternehmen in Deutschland oft unmöglich“) bei einem Verstoß gegen die DSGVO Bußgelder in Höhe von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes vor. Da es sich bei einem Unternehmen jedoch um ein rechtliches Gebilde und somit in aller Regel um eine juristische Person handelt, ist eine Sanktionierung im Wege eines Bußgeldes nur dann möglich ist, wenn das Handeln eines Mitarbeiters oder Geschäftsleiters, somit einer natürlichen Person, dem Unternehmen zugerechnet werden kann. Dies setzt grundsätzlich voraus, dass:
- eine Person einen Datenschutzverstoß begangen hat und
- das Unternehmen für diesen Verstoß verantwortlich ist.
Art. 83 DSGVO verliert selbst kein Wort über die Voraussetzungen einer solchen Zurechnung.
Nationales Recht in Deutschland – §§ 30 und 130 OWiG
Nach § 41 Abs. 1 Bundesdatenschutzgesetz (BDSG) findet das Gesetz über Ordnungswidrigkeiten (OWiG) auf DSGVO-Bußgelder Anwendung. Von besonderer Relevanz sind hierbei § 30 und § 130 OWiG, welche die Voraussetzungen festlegen, unter welchen gegen ein Unternehmen strafrechtliche Sanktionen verhängt werden können. Diese Vorschriften sind somit auch auf Datenschutzverstöße anwendbar.
- Tat & Täter: Gemäß § 30 OWiG ist ein Bußgeld gegen ein Unternehmen nur dann erlaubt, wenn ein Organ oder ein Mitarbeiter in leitender Position eine Straftat oder Ordnungswidrigkeit begangen hat und wenn hierdurch Pflichten des Unternehmens verletzt worden sind oder das Unternehmen bereichert wird.
- Schuld: 130 OWiG wiederum nimmt einen anderen Blickwinkel ein und erlaubt ein Bußgeld gegen ein Unternehmen, wenn der Inhaber eines Unternehmens oder ein Organ des Unternehmens vorsätzlich oder fahrlässig Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um Zuwiderhandlungen gegen Straf- oder Bußgeldnormen zu verhindern und es zu einer Zuwiderhandlung gekommen ist, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.
30 und § 130 OWiG stellen somit erhebliche Hürden auf: Kann nicht festgestellt werden, dass ein leitender Mitarbeiter des Unternehmens die Ordnungswidrigkeit begangen hat oder eine Aufsichtspflicht verletzt hat, kann kein Bußgeld aufgrund einer Datenschutzverletzung verhängt werden. Somit ist die bloße Zuordnung einer Datenschutzverletzung zu der juristischen Person nicht ausreichend, denn hieraus folgt nicht, dass ein konkret bestimmbarer Mitarbeiter in leitender Funktion für die Datenschutzverletzung verantwortlich ist. Erst dies ermöglicht die Zurechnung.
Rechtsprechung zu Bußgeldern gegen Unternehmen in Deutschland
In Hinblick auf datenschutzrechtliche Problematiken im Rahmen von § 30 und § 130 OWiG fehlt es nach Geltung der DSGVO (seit Mai 2018) an relevanter Rechtsprechung durch deutsche Gerichte. Nichtsdestotrotz können die bisher in Bezug auf § 30 und § 130 OWiG ergangenen Urteile deutscher Gerichte herangezogen werden. Auch wenn diese keinen direkten datenschutzrechtlichen Bezug vorweisen, sind die Urteile doch in Hinblick auf die Anwendung der Vorschriften des OWiG von Relevanz und etablieren Grundsätze für die Zurechnung von Handlungen natürlicher Personen in Bezug auf das Unternehmen als juristische Person, welche auch in datenschutzrechtlichen Konstellationen Anwendung beanspruchen können. Siehe hierfür die relevantesten deutschen Urteile: https://www.cr-online.de/blog/2019/09/13/bussgelder-gegen-unternehmen-sechs-beispiele-aus-der-rechtsprechung/
Übertragbarkeit auf DSGVO-Verstöße
Nach unserer Auffassung Härting/Konrad DSGVO im Praxistest, Rz. 323-351 (erscheint am 22.06.2020) sind die Grundgedanken und Prinzipien, die durch die deutschen Gerichte für die Anwendung der § 30 und § 130 OWiG herausgestellt wurden, „ohne weiteres“ auf Bußgelder nach der DSGVO zu übertragen. Kommt es beispielsweise zu einer Datenpanne, so reicht es für ein Bußgeld nicht aus, allgemein davon auszugehen, dass die Panne durch geeignete Anweisungen der Unternehmensspitze hätten verhindern lassen. Vielmehr bedarf es konkreter Feststellungen, welche Handlungen welcher bestimmter Leitungspersonen zu dem Vorfall geführt haben, beziehungsweise welche Handlungen den Vorfall hätten verhindern können.
Anforderung an Bußgeldbescheid
Somit besteht eine erhebliche Hürde für den rechtmäßigen Erlass eines Bußgeldbescheids: Die bloße Feststellung eines Datenschutzverstoßes ist bei weitem noch nicht ausreichend, um ein Bußgeld zu verhängen. Es bedarf der Feststellung, dass eine Person aus der Führungsebene einen Datenschutzverstoß begangen oder Aufsichtspflichten verletzt hat und dabei vorsätzlich oder fahrlässig gehandelt hat. Der Nachweis dieser Tatbestandsvoraussetzungen obliegt der Aufsichtsbehörde. Hierbei werden sich die Datenschutzbehörden in den nächsten Jahren den ein oder anderen „rechtsstaatlichen Zahn“ ausbeißen (Niko Härting „DSGVO-Bußgelder gegen Unternehmen in Deutschland oft unmöglich“, CR-online.de Blog, 11.9.2019) da es nicht ausreichend ist, einen Datenschutzverstoß nachzuweisen, der „durch das Unternehmen“ begangen worden ist.
Wie bereits angesprochen gibt es zu den in Deutschland geltenden Normen bezüglich der Bußgelder aufgrund von Datenschutzverstößen keine neue geltende Rechtsprechung der Gerichte. Anders sieht es in unserem Nachbarland Österreich aus. Dort hat das Bundesverwaltungsgericht in einem Urteil zu Datenschutzverstößen in Unternehmensbereichen Stellung genommen. Mit dieser Rechtsprechung setzt sich der nächste Beitrag am 10.06.2020 auseinander.