BMI: Bald keine Datenschutz-Bußgelder mehr gegen Unternehmen?

Unterschiedliche Gerichtsentscheidungen

In Bezug auf die Verhängung von Bußgeldern nach Datenschutzverstößen existieren inzwischen diverse Gerichtsentscheidungen. Häufig wird primär über die Höhe der Geldbuße gestritten, denn diese wird seit Ende 2019 von der jeweiligen Datenschutzaufsichtsbehörde regelmäßig auf Basis des DSK-Bußgeldkonzepts bemessen. Eine weitere Streitfrage dreht sich um den richtigen Adressaten eines Bußgeldbescheids. Die Frage, ob sich Geldbußen nur gegen natürliche Personen oder auch direkt gegen juristische Personen richten können, lässt sich exemplarisch an zwei Entscheidungen darstellen.

Das Landgericht Bonn geht in seinem Urteil vom 11.11.2020 (Az. 29 OWi 1/20 LG) davon aus, dass die Geldbuße viel zu hoch angesetzt war und kritisiert damit deutlich das DSK-Bußgeldkonzept. Eine Reduzierung der ursprünglich angesetzten rund 10 Mio. Euro auf nur noch etwa 900.000 Euro war die Folge. Den Adressaten des Bußgeldbescheids, nämlich das Unternehmen selbst, sah das Gericht als korrekt gewählt an.

Genau die gegenläufige Ansicht vertritt des Landgericht Berlin in seinem Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-Owi 1/20 (1/20)). Hier kam das Gericht gar nicht zur Klärung der Frage nach der Bußgeldhöhe. Denn die Berliner Richter hielten schon die Wahl des Unternehmens als Adressaten der Geldbuße für falsch.

Ausgangspunkt hierbei ist die Auslegung bestimmter Normen des Ordnungswidrigkeitenrechts, genauer der §§ 30, 130 OWiG. Diese legen, kurz gesagt, fest, dass Geldbußen gegen Führungspersonen eines Unternehmens zu richten sind, wenn diese Fehler begehen. Wenn also z.B. der Geschäftsführer, der Prokurist oder der Geschäftsinhaber eine Straftat oder eine Ordnungswidrigkeit begehen, so sind die entsprechenden Strafen unmittelbar gegen die Täter zu richten - und gerade nicht gegen das Unternehmen, für das diese tätig sind.

Dieser Meinungsstreit ist nicht nur rein wissenschaftlicher Natur, sondern hat durchaus gewichtige Auswirkungen für die Praxis. Folgt man der Aufassung, die u.a. vom LG Bonn vertreten wird, dann genügt die Feststellung eines Verstoßes gegen das Datenschutzrecht, um dann ggf. ein Bußgeld gegen das betreffende Unternehmen zu verhängen. Nach der u.a. vom LG Berlin vertretenen Ansicht müsste die Aufsichtsbehörde darüber hinaus ein konkretes Fehlverhalten einer konkreten, leitenden Person des Unternehmens ermitteln und nachweisen. Die letztgenannte Variante ist also deutlich schwieriger und würde evtl. dazu führen, dass es a) vermutlich weniger Bußgeldbescheide gibt und dass b) die Verteidigung gegen diese Bescheide einfacher wäre.

Evaluierung des BDSG

Im Rahmen der Evaluierung des Bundesdatenschutzgesetzes (BDSG) hat das BMI u.a. zu dieser Problematik Stellung genommen. So heißt es auf S. 62 des Berichts:

"Dazu ist zunächst darauf hinzuweisen, dass sich der Gesetzgeber seinerzeit bewusst – und in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden zu dieser Thematik  – dafür entschieden hat, die  §§ 30, 130 OWiG nicht aus den nach § 41 Absatz 1 Satz 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen. Diese Entscheidung basiert dabei auf der Erwägung, dass Artikel 83 Absatz 8 DSGVO es gerade den Mitgliedstaaten überlässt, die Einzelheiten des Bußgeldverfahrens zu regeln. Etwas anderes ergibt sich im Übrigen auch nicht aus Erwägungsgrund 150 zur DSGVO; dieser ist insgesamt und in seinem systematischen Kontext zu lesen. Er bezieht sich auf Artikel 83 DSGVO und konkret auf die dortigen Regelungen der Bußgeldhöhe, enthält aber keine Vorgaben zu den Voraussetzungen, unter denen Verstöße von natürlichen Personen eine bußgeldrechtliche Verantwortlichkeit von juristischer Person und Personenvereinigung auslösen."

Bei Lichte betrachtet schließt sich das BMI hier also der Auffassung des LG Berlin an.

Auswirkungen für die Praxis?

Was das jetzt im Ergebnis bedeutet? Das wird sich noch zeigen müssen, letztlich ist es an den Gerichten, hier Rechtsfortbildung zu betreiben. Eine Entscheidung des EuGH zu dieser Frage wäre mehr als hilfreich, ist derzeit aber noch nicht in Sicht.

Bis auf Weiteres sollten Unternehmen sich jedoch nicht entspannen, sondern das Thema Datenschutz weiter als eine ihrer zentralen Compliance-Anforderungen Ernst nehmen. Denn wie z.B. die Ankündigung einer bundeslandübergreifenden Prüfung von Unternehmen auf Datenübermittlungen in Drittstaaten von Anfang Juni 2021 gezeigt hat, prüfen die Aufsichtsbehörden bisweilen auch pro-aktiv und nicht erst nach einer Beschwerde oder einem konkreten Vorfall.