Klare Absage an ein „supranationales Sanktionsregime“

„Der Aufwand des Tatnachweises berechtigt nicht zum Verstoß gegen den Schuldgrundsatz.“

Die Einführung der EU-Datenschutz-Grundverordnung (DSGVO) im März 2018 hat die Folgen von Fehlern beim Datenschutz komplett verändert. Europäische Datenschutzbehörden haben mittlerweile eine Vielzahl von Millionengeldbußen verhängt, eine ganze Reihe in dreistelliger Millionenhöhe. Geldbußen wegen DSGVO-Verstößen sind mittlerweile zu einem ganz erheblichen Compliance-Risiko geworden.

Gleichzeitig geht der EuGH von hohen Compliance-Pflichten aus, die noch über das in der DSGVO geforderte Maß hinausgehen. Nach Ansicht der Luxemburger Richter „erlegen Art. 5 Abs. 2 und Art. 24 DSGVO den für die Verarbeitung personenbezogener Daten Verantwortlichen eine allgemeine Rechenschaftspflicht sowie Compliance-Pflichten auf. Insbesondere verpflichten diese Bestimmungen die Verantwortlichen, zur Wahrung des Rechts auf Datenschutz geeignete Maßnahmen zu ergreifen, um etwaigen Verstößen gegen die Vorschriften der DSGVO vorzubeugen“ (Rs. C-129/21, Rn. 81). Die genannten Art. 5 Abs. 2 und 24 DSGVO erlegen Verantwortlichen Nachweis- und Rechenschaftspflichten auf. Datenschutzbehörden argumentieren daher auch immer häufiger, ein Unternehmen habe gegen die DSGVO verstoßen, weil es nicht nachweisen könne, deren Vorgaben vollumfänglich umgesetzt zu haben. In einem kürzlich erlassenen Bescheid formuliert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, der datenschutzrechtlich Verantwortliche habe eine Datenverarbeitung betrieben, „ohne die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 Abs. 1 DSGVO nachweisen zu können“ (Az. 23–507–3/005#0016).

Da die Anforderungen der Datenschutzbehörden an die Umsetzung der DSGVO und anderer datenschutzrechtlicher Vorschriften sehr hoch sind, ist es oft nötig oder zweckmäßig, sich gegen Geldbußen vor Gericht zu verteidigen. So hatte beispielsweise das LG Berlin eine hohe Geldbuße aufgehoben, weil die zuständige Behörde den Bescheid unter Verstoß gegen Verfahrensvorgaben verhängt hatte (Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWi LG 1/20). Die Behörde ging davon aus, dass das deutsche Recht keine hinreichend wirksame Sanktionierung von Unternehmen erlaube. Daher sei ein konkreter Tatnachweis eines einzelnen Mitarbeiters des Unternehmens nicht nötig. Vielmehr gelte eine Art unmittelbare Unternehmenshaftung nach dem Vorbild des EU-Kartellrechts. Das LG bewertete dies unter anderem als Verstoß gegen den Schuldgrundsatz, das Analogieverbot, das deutsche Gesetzlichkeitsprinzip und den Grundsatz der Gesetzmäßigkeit der Strafe nach Art. 49 Abs. 1 GRCh. Zudem bestimme der Bußgeldbescheid die konkret zur Last gelegte Tat auch nicht so konkret, dass sich daraus die tatsächlich und rechtlich näher bezeichnete Beschuldigung ergebe (vgl. § 66 OWiG).

In der folgenden Rechtsmittelinstanz legte das Kammergericht dem EuGH die Fragen nach der Anwendung der Rechtsprechung des EU-Kartellrechts, der Feststellung einer schuldhaften begangenen Tat und einer möglichen unmittelbaren Unternehmenshaftung vor. Der Verfasser CB 2023, Heft 05, Umschlagteil S. III (IV)dieses Editorials hielt in der Verhandlung vor dem EuGH das Plädoyer der Verteidigung (Rs. C-807/21). Am Tag nach der Verhandlung veröffentlichten die deutschen Datenschutzaufsichtsbehörden eine Stellungnahme zu dem Verfahren. Darin forderten sie, dass für die Verhängung von Geldbußen „im Grundsatz bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß [...] (‚strict liability‘)“ für eine Geldbuße ausreichen solle. Dies sei eine „vom europäischen Gesetzgeber gewollte Erleichterung für die Datenschutzaufsichtsbehörden“. Durch den im deutschen Recht geforderten Nachweis eines Organisations- oder Überwachungsverschuldens entstünde auf Seiten der deutschen Verwaltungs- und Ermittlungsbehörden „enormer Aufwand und enorme Kosten im Rahmen von (zum Teil öffentlichkeitswirksamen) Durchsuchungen von Geschäftsräumen und Beschlagnahmen sowie Sichtung von Material“. „Der Nachweis ist regelmäßig mit einem erheblichen Aufwand verbunden.“

Sicherlich sieht man die Dinge als Verteidiger in diesem Verfahren nicht unvoreingenommen. Aber der Aufwand des Tatnachweises darf nach meinem Rechtsverständnis nicht zu einer „strict liability“ unter Verstoß gegen den Schuldgrundsatz führen. In dem konkreten Vorgang bewertete das LG Berlin diesen Aufwand gänzlich anders als die Datenschutzbehörden. Zwar hatte die Behörde zunächst mehrere Jahre ermittelt. Dennoch habe sie gerade keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße durchgeführt. „In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können.“

Es ist zu hoffen, dass der EuGH dem von den Datenschutzbehörden geforderten „supranationalen Sanktionsregime“ in Anlehnung an das EU-Kartellrecht mit den Argumenten des LG Berlin eine klare Absage erteilt. Offen bleibt allerdings, ob die Luxemburger Richter tatsächlich gewillt sind, in diesem Fall der Rechtsstaatlichkeit den Vorzug vor einem ausufernden Datenschutz zu geben.