Nach dem Ausflug in die Österreichische Rechtsprechung, welche sich im Übrigen sehr gut auf die deutsche Rechtslage übertragen lässt, widmen sich dieser kurze Schlussbeitrag wieder denen in Deutschland geltenden Normen und stellen die Vereinbarkeit der §§ 30 und 130 OWiG mit Art. 83 DSGVO in Frage.
Vereinbarkeit nationalen Rechts mit Art. 83 DSGVO
Offensichtlich erschweren die §§ 30 und 130 OWiG die Verhängung von Bußgelder gegen Unternehmen erheblich. Dies widerspricht der Intention des Art. 83 DSGVO. Fraglich ist, ob die §§ 30 und 130 OWiG daher einschränkend ausgelegt werden müssen:
- Ergänzungsbedürftige Lücke: Hiergegen spricht jedoch primär, dass Art. 83 DSGVO selbst die zentrale Frage von Zurechnungskriterien für das Fehlverhalten von Mitarbeitern und Dienstleistern vollständig offen lässt. Dieses „Vakuum“ kann nur durch das Recht der Mitgliedstaaten ausgefüllt werden. So im Übrigen auch die Argumentation des VwGH.
- Maßstab: Überdies lässt sich in Art. 83 DSGVO kein tauglicher Maßstab entnehmen, um festzulegen inwieweit eine Einschränkung der §§ 30 und 130 OWiG vorzunehmen ist.
- Schuldprinzip: Zuletzt folgt aus dem Umstand, dass den beiden Vorschriften das Schuldprinzip zugrunde liegt (nulla poena sine culpa), dass niemand für eine Tat bestraft werden darf, wenn ihn keine Schuld trifft, sodass ein Verstoß gegen das Schuldprinzip vorlege, würde ohne entsprechende Feststellung von Person und Handlung eine Zurechnung zum Nachteil der juristischen Person angenommen werden.
- Verfassungsidentität: Dieses Prinzip ist „europafest“, da es zu der unverfügbaren Verfassungsidentität gehört (Art. 79 Abs. 3 GG). Dies hat das Bundesverfassungsgericht explizit bestätigt (Urteil vom 30.6.2009, Az. 2 BvF 2/08 u.a., Rn. 364). Folgend aus dem Umstand, dass das BVerfG in seinem Lissabon-Urteil das Schuldprinzip aus der Menschenwürde-Garantie ableitet (Art. 1 Abs. 1 GG) wird teilweise bestritten, dass das Schuldprinzip auch auf juristische Personen anwendbar ist, da diese keine Menschenwürde haben. Dieser Ansatz verkennt jedoch, dass das Rechtsstaatsprinzip die zweite Wurzel des Schuldprinzips darstellt (BVerfG vom 25.10.1966, Az. 2 BvR 506/63). Eine „Vergeltung für einen Vorgang, den der Betroffene nicht zu verantworten hat“ (BVerfG, aaO), darf es in einem Rechtsstaat nicht geben. Dies gilt damit sowohl für natürliche als auch für juristische Personen. Folglich sind die §§ 30 und 130 OWiG mit Art. 83 DSGVO vereinbar.
Fazit
Ein Datenschutzverstoß „durch das Unternehmen“ ist unzureichend um eine Zurechnung zu bejahen. Vielmehr ist eine konkrete Bestimmung einer natürlichen Person und dessen Handlung oder Unterlassung notwendig, die gegen die DSGVO verstoßen haben. Dabei ist erforderlich, dass einem Mitarbeiter in leitender Funktion ein Verschulden (§ 30 OWiG) oder die Verletzung einer Aufsichtspflicht (§ 130 OWiG) nachgewiesen wird um der juristischen Person eine Datenschutzverletzung zurechnen. Dies stellt die Behörde vor die Aufgabe, die Unternehmensstruktur der juristischen Person darzulegen, um im Einzelfall feststellen zu können, welche Handlung durch welche Person zugerechnet werden soll. Die beiden österreichischen Urteile verdeutlicht dies und zeigt den Datenschutzbehörden klar auf, dass mehr als nur ein Datenschutzverstoß vorzuweisen ist, um ein Bußgeld zu verhängen. Es ist davon auszugehen, dass die deutschen Strafgerichte bei der Überprüfung eines Bußgeldbescheides dieselben oder zumindest sehr ähnliche Grundsätze anwenden werden, sodass die deutschen Datenschutzbehörden für den Erlass eines Bußgeldbescheides für einen noch so offensichtlichen Datenschutzverstoß eines Unternehmens, den hohen Hürden der §§ 30 und 130 OWiG genügen müssen. Hierum sind die Datenschutzbehörden nicht zu beneiden.
Mehr zu dieser und weiteren Fragen zum dreigeteilten Bußgeldverfahren können Sie im Härting/Konrad, DSGVO im Praxistest, Ermittlungen – Bußgelder – Verfahren ab dem 22.06.2020 nachlesen.