R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
K&R 2021, I
Wybitul 

Streit um DSGVO-Bußgelder vor deutschen Gerichten

Abbildung 1

RA Tim Wybitul

Mittlerweile gibt es eine ganze Anzahl hoher DSGVO-Bußgelder gegen Unternehmen in Deutschland. Das mit 35,3 Millionen Euro bislang höchste rechtskräftige Bußgeld verhängte die Hamburger Datenschutzbehörde. In einem anderen Fall hatte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegen ein Telekommunikationsunternehmen ein Bußgeld in Höhe von 9,5 Millionen Euro verhängt. Nach der unberechtigten Offenlegung einer Mobiltelefonnummer bewertete der BfDI die Datensicherungsmaßnahmen als unzureichend und nahm einen Verstoß gegen Art. 32 DSGVO an. Im anschließenden Verfahren vor dem LG Bonn reduzierten die Richter das Bußgeld auf 900 000 Euro (Urt. v. 11. 11. 2020 – 29 OWi 1/20, K&R 2021, 133 ff.). Das Gericht maß dem vom BfDI als wesentlich berücksichtigten Umsatz des Unternehmens zwar Bedeutung zu. Es orientierte sich bei der Bemessung des Bußgeldes jedoch stärker an der “Tatschuld”.

In einem anderen wichtigen Punkt liegt die Entscheidung aber auf der Linie der Behörden. Der BfDI hatte das Bußgeld direkt gegen das Unternehmen verhängt, ohne einen Pflichtverstoß einer Leitungsperson festzustellen. Eine solche Vorgehensweise sieht das deutsche Bußgeldrecht nicht vor. Zwar erlaubt es § 30 OWiG, einem Unternehmen eine Pflichtverletzung zuzurechnen. Dies setzt aber voraus, dass zuvor eine Leitungsperson eine solche Pflichtverletzung begangen hat. Für eine solche Bezugstat muss nach der Rechtsprechung nicht einmal zwingend der konkrete Täter ermittelt werden; notwendig ist nur die Feststellung, dass eine Leitungsperson die Zuwiderhandlung vorwerfbar begangen hat (vgl. BGH, NStZ 1994, 346).

Eine Bezugstat für die Anwendung von § 30 OWiG liegt in der Praxis häufig in einer Aufsichtspflichtverletzung nach § 130 OWiG. Danach haften Unternehmensleiter, wenn sie erforderliche Aufsichtsmaßnahmen unterlassen, um unternehmensbezogene Pflichtverstöße zu verhindern. Dies erfordert, dass die festgestellte Zuwiderhandlung durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Nach dem deutschen Recht knüpft die Verhängung eines Bußgeldes gegen ein Unternehmen häufig an die Verletzung entsprechender Aufsichtspflichten an. Demnach könnte ein Bußgeld nur dann gegen ein Unternehmen oder eine sonstige juristische Person verhängt werden, wenn der zugrunde liegende Datenschutzverstoß durch eine ordnungsgemäße Aufsicht verhindert oder wesentlich erschwert worden wäre.

Die meisten deutschen Datenschutzbehörden meinen jedoch, dass bei Bußgeldern nach Art. 83 DSGVO ein sogenanntes kartellrechtliches Funktionsträgerprinzip gelten soll. Danach sollen Unternehmen auch ohne eine Aufsichtspflichtverletzung oder einen sonstigen nachgewiesenen Pflichtverstoß der Leitungsebene für DSGVO- Verstöße haften. In diesem Punkt gab das LG Bonn den Datenschutzbehörden Recht. Gegenstand der Sanktionierung sei der Datenschutzverstoß als Erfolg und nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen. Eine Kenntnis oder gar Anweisung der Geschäftsführung oder die Verletzung der Aufsichtspflicht sei nicht erforderlich. Das Unternehmen hafte als funktionale Einheit – und die Anknüpfung der Geldbuße an ein Fehlverhalten von Organen oder Leitungspersonen lasse sich mit dem Haftungskonzept nach EU-rechtlichem Vorbild und dem Funktionsträgerprinzip nicht sinnvoll in Einklang bringen.

Diese Auffassung muss man nicht teilen. Denn § 41 BDSG nimmt unter anderem die §§ 30, 130 OWiG in Bezug. Zudem steht in Art. 83 DSGVO nichts von einem Funktionsträgerprinzip oder kartellrechtlichen Haftungsregeln. Vielmehr verweist Art. 83 Abs. 8 DSGVO ausdrücklich auf die Verfahrensvorschriften der EU und der Mitgliedstaaten. Zwar gibt es in Erwägungsgrund 150 S. 3 DSGVO einen Verweis auf kartellrechtliche Vorgaben. Der bezieht sich nach seinem Wortlaut aber ausschließlich auf den maximalen Bußgeldrahmen für Unternehmen. Dementsprechend bewertete auch kürzlich das LG Berlin ein von der Berliner Datenschutzbehörde ebenfalls direkt gegen ein Unternehmen verhängtes Bußgeld als unwirksam (Beschluss vom 18. 2. 2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20), K&R 2021, 285 ff.). Neben den oben genannten Argumenten sah es die Verhängung eines Bußgeldes auch als Verstoß gegen das Gesetzlichkeitsprinzip und den Schuldgrundsatz an.

Gegensätzlicher als das Urteil des LG Bonn und der Beschluss des LG Berlin können gerichtliche Entscheidungen wohl kaum sein. Die Staatsanwaltschaft hat gegen die Entscheidung des LG Berlin sofortige Beschwerde eingelegt. Das Verfahren ist nun beim KG Berlin anhängig. Datenschutzbehörden haben bislang viele DSGVO-Bußgeldbescheide direkt gegen Unternehmen verhängt. Daher wird die Entscheidung des KG Berlin hohe praktische Bedeutung haben.

Das Beispiel zeigt aber bereits jetzt schon, dass es sich durchaus lohnen kann, Entscheidungen der Datenschutzbehörden vor Gericht überprüfen zu lassen.

RA Tim Wybitul*

*

Der Verfasser ist Teil des Verteidigerteams, das das betroffene Unternehmen in dem o. g. Verfahren vor dem LG Berlin gegen das von der Berliner Datenschutzbehörde verhängte Bußgeld verteidigte.

 
stats