BMI: Bald keine Datenschutz-Bußgelder mehr gegen Unternehmen?

Published

17.11.2021

Unterschiedliche Gerichtsentscheidungen

In Bezug auf die Verhängung von Bußgeldern nach Datenschutzverstößen existieren inzwischen diverse Gerichtsentscheidungen. Häufig wird primär über die Höhe der Geldbuße gestritten, denn diese wird seit Ende 2019 von der jeweiligen Datenschutzaufsichtsbehörde regelmäßig auf Basis des DSK-Bußgeldkonzepts bemessen. Eine weitere Streitfrage dreht sich um den richtigen Adressaten eines Bußgeldbescheids. Die Frage, ob sich Geldbußen nur gegen natürliche Personen oder auch direkt gegen juristische Personen richten können, lässt sich exemplarisch an zwei Entscheidungen darstellen.

Das Landgericht Bonn geht in seinem Urteil vom 11.11.2020 (Az. 29 OWi 1/20 LG) davon aus, dass die Geldbuße viel zu hoch angesetzt war und kritisiert damit deutlich das DSK-Bußgeldkonzept. Eine Reduzierung der ursprünglich angesetzten rund 10 Mio. Euro auf nur noch etwa 900.000 Euro war die Folge. Den Adressaten des Bußgeldbescheids, nämlich das Unternehmen selbst, sah das Gericht als korrekt gewählt an.

Genau die gegenläufige Ansicht vertritt des Landgericht Berlin in seinem Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-Owi 1/20 (1/20)). Hier kam das Gericht gar nicht zur Klärung der Frage nach der Bußgeldhöhe. Denn die Berliner Richter hielten schon die Wahl des Unternehmens als Adressaten der Geldbuße für falsch.

Ausgangspunkt hierbei ist die Auslegung bestimmter Normen des Ordnungswidrigkeitenrechts, genauer der §§ 30, 130 OWiG. Diese legen, kurz gesagt, fest, dass Geldbußen gegen Führungspersonen eines Unternehmens zu richten sind, wenn diese Fehler begehen. Wenn also z.B. der Geschäftsführer, der Prokurist oder der Geschäftsinhaber eine Straftat oder eine Ordnungswidrigkeit begehen, so sind die entsprechenden Strafen unmittelbar gegen die Täter zu richten - und gerade nicht gegen das Unternehmen, für das diese tätig sind.

Dieser Meinungsstreit ist nicht nur rein wissenschaftlicher Natur, sondern hat durchaus gewichtige Auswirkungen für die Praxis. Folgt man der Aufassung, die u.a. vom LG Bonn vertreten wird, dann genügt die Feststellung eines Verstoßes gegen das Datenschutzrecht, um dann ggf. ein Bußgeld gegen das betreffende Unternehmen zu verhängen. Nach der u.a. vom LG Berlin vertretenen Ansicht müsste die Aufsichtsbehörde darüber hinaus ein konkretes Fehlverhalten einer konkreten, leitenden Person des Unternehmens ermitteln und nachweisen. Die letztgenannte Variante ist also deutlich schwieriger und würde evtl. dazu führen, dass es a) vermutlich weniger Bußgeldbescheide gibt und dass b) die Verteidigung gegen diese Bescheide einfacher wäre.

Evaluierung des BDSG

Im Rahmen der Evaluierung des Bundesdatenschutzgesetzes (BDSG) hat das BMI u.a. zu dieser Problematik Stellung genommen. So heißt es auf S. 62 des Berichts:

"Dazu ist zunächst darauf hinzuweisen, dass sich der Gesetzgeber seinerzeit bewusst – und in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden zu dieser Thematik – dafür entschieden hat, die §§ 30, 130 OWiG nicht aus den nach § 41 Absatz 1 Satz 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen. Diese Entscheidung basiert dabei auf der Erwägung, dass Artikel 83 Absatz 8 DSGVO es gerade den Mitgliedstaaten überlässt, die Einzelheiten des Bußgeldverfahrens zu regeln. Etwas anderes ergibt sich im Übrigen auch nicht aus Erwägungsgrund 150 zur DSGVO; dieser ist insgesamt und in seinem systematischen Kontext zu lesen. Er bezieht sich auf Artikel 83 DSGVO und konkret auf die dortigen Regelungen der Bußgeldhöhe, enthält aber keine Vorgaben zu den Voraussetzungen, unter denen Verstöße von natürlichen Personen eine bußgeldrechtliche Verantwortlichkeit von juristischer Person und Personenvereinigung auslösen."

Bei Lichte betrachtet schließt sich das BMI hier also der Auffassung des LG Berlin an.

Auswirkungen für die Praxis?

Was das jetzt im Ergebnis bedeutet? Das wird sich noch zeigen müssen, letztlich ist es an den Gerichten, hier Rechtsfortbildung zu betreiben. Eine Entscheidung des EuGH zu dieser Frage wäre mehr als hilfreich, ist derzeit aber noch nicht in Sicht.

Bis auf Weiteres sollten Unternehmen sich jedoch nicht entspannen, sondern das Thema Datenschutz weiter als eine ihrer zentralen Compliance-Anforderungen Ernst nehmen. Denn wie z.B. die Ankündigung einer bundeslandübergreifenden Prüfung von Unternehmen auf Datenübermittlungen in Drittstaaten von Anfang Juni 2021 gezeigt hat, prüfen die Aufsichtsbehörden bisweilen auch pro-aktiv und nicht erst nach einer Beschwerde oder einem konkreten Vorfall.

Update vom 28.12.2021

Das Kammergericht Berlin hat als 2. Instanz im ursprünglichen Verfahren des LG Berlin (s.o.) nun mit Beschluss vom 06.12.2021 (Az. 3 Ws 250/21) dem EuGH folgende Fragen vorgelegt, die sich auf das Verhältnis von Art. 83 Abs. 4-6 DSGVO zu § 30 OWiG beziehen:

"Dem Gerichtshof der Europäischen Union werden zur Auslegung von Art. 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen beider Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung) folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art. 83 Abs. 4-6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf ?

2. Wenn die Frage zu 1. bejaht werden sollte ist Art. 83 Abs.4 - 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbwerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability")"

Es geht hier also genau um die Frage, ob ein Bußgeld gegen ein Unternehmen gem. Art. 83 DSGVO nur nach Feststellung einer deliktischen Handlung durch eine natürliche, für ein Unternehmen handelnde Person verhängt werden darf oder ob ein Datenschutz-Verstoß an sich ausreicht, um die Geldbuße gegen das Unternehmen zu verhängen. Weiterhin soll der EuGH die Frage beantworten, ob ein festgestellter Verstoß an sich ausreicht oder ob ein Verschulden seitens eines Mitarbeiters des betreffenden Unternehmens vorliegen muss.

Es bleibt spannend...

Über den Autor

Michael Rohrlich

Würselen

Website Twitter LinkedIn Xing

ist Rechtsanwalt mit Kanzlei in Würselen (Nähe Aachen) und gehört zur "Generation C64". Zu seinen beruflichen Schwerpunkten zählen das IT-, das Online- sowie das Datenschutzrecht und auch der Bereich E-Commerce. Bereits seit 1997 veröffentlicht er regelmäßig Fachbeiträge in verschiedenen Print- und Online-Publikationen sowie diverse Bücher. Zudem hält er auch regelmäßig Vorträge und steht für Video-Trainings vor der Kamera.

BAG: Bald einfache und hohe Schadensersatzforderungen nach Datenschutzverstößen möglich?

Author

Michael Rohrlich

Published

09.11.2021

Das Bundesarbeitsgericht (BAG) legt mit Beschluss vom 26.08.2021 (Az. 8 AZR 253/20 (A)) dem Europäischen Gerichtshof (EuGH) u.a. die Fragen vor, unter welchen Voraussetzungen Schadensersatzansprüche gem. Art. 82 Abs. 1 DSGVO geltend gemacht werden können, ob dazu ein Verschulden des Verantwortlichen vorliegen muss und ob der Schadensersatz ggf. eine "abschreckende Wirkung" haben soll. Es geht also konkret darum, wie leicht Betroffene in Zukunft einen Anspruch auf Schadensersatz geltend machen können und ob es hierbei - wie bis jetzt - eher um moderate oder doch um größere Summen gehen wird.

Wird der Einsatz von US-Tools bald datenschutzrechtlich unmöglich?

Author

Michael Rohrlich

Published

04.03.2022

Diverse Behörden- bzw. Gerichtsentscheidungen der letzten Zeit zu Google Analytics, Google Fonts, Mailchimp o.ä. Tools von US-Anbietern legen die Befürchtung nahe, dass es zunehmend risikoreicher wird, derartige Dienste in die eigene Online-Präsenz einzubinden. Zumindest ist dies seit dem sog. "Schrems II"-Urteil des EuGH vom 16. Juli 2020 (Az. C-311/18) mit einem enormen Aufwand verbunden und bedarf einiges an Know-How.

Ankündigung einer bundeslandübergreifenden Prüfung von Unternehmen auf Datenübermittlungen in Drittstaaten

Author

Michael Rohrlich

Published

04.06.2021

Bei der Übermittlung personenbezogener Daten in Nicht-EU-Staaten müssen besondere Voraussetzungen vorliegen. Insbesondere muss dort ein mit der EU vergleichbares Datenschutzniveau bestehen. Zu den Staaten, denen die EU-Kommission mit einem sog. Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bescheinigt, gehörte neben Kanada, Japan oder der Schweiz auch die USA - jedenfalls bis zum 16. Juli 2020. Denn an diesem Tag hat der EuGH den sog. EU-US-Privacy-Shield gekippt, der bis dato das angemessene Schutzniveau in den USA garantierte. Unternehmen sollten seit dem also schon längst ihre Datenübermittlungen in Drittstaaten, speziell in die USA, auf den Prüfstand gestellt haben. Jetzt haben die deutschen Datenschutz-Aufsichtsbehörden eine korrdinierte Überprüfung von Unternehmen auf Datenübermittlungen in Drittstaaten angekündigt - schnelles Handeln ist also gefragt.

Interviews mit Personen aus dem weiten Feld Datenschutz / IT-Sicherheit

Author

Michael Rohrlich

Published

22.12.2023

Im Bereich Datenschutz / IT-Sicherheit arbeiten die unterschiedlichsten Menschen. Im Rahmen einer Interviewreihe haben einige von ihnen nach ihrem Lebensweg und ihrer aktuellen beruflichen Tätigkeit gefragt. Das Spektrum reicht von Datenschutz-Beratern, Rechtsanwälten, EDVlern, Professoren bis hin zu Beschäftigten aus Branchenverbänden sowie Datenschutzaufsichtsbehörden.