Seit Inkrafttreten der DSGVO im Mai 2018 sind bereits einige Jahre vergangen. Ziel war es europaweit einheitliche Regelungen für den Bereich des Datenschutzes zu schaffen. In vielen Bereichen herrschen jedoch weiterhin Unstimmigkeiten. So ist auch die Frage des Haftungskonzepts bei Datenschutzverstößen von Unternehmen noch ungeklärt. Für Unternehmen ist dies ein nur schwer hinnehmbarer Zustand, da Datenschutzverstöße mit millionenschweren Bußgeldern angedroht werden. Wann und unter welchen Voraussetzungen mit solchen zu rechnen ist, ist für Unternehmen von zentraler Bedeutung.
Rechtsträger- gegen Funktionsträgerprinzip
Ausgangspunkt der Frage ist, ob das deutsche Haftungskonzept überhaupt für juristische Personen gilt und damit § 30 OWiG anwendbar ist. Grundsätzlich können nur natürliche Personen Ordnungswidrigkeiten und Straftaten begehen, weshalb das deutsche Strafrecht auch nur Strafen gegen sie kennt und nur gegen sie Geldbuße verhängt. Nach § 30 OWiG können jedoch auch gegenüber einem Unternehmen Geldbuße verhängt werden, wenn eine Führungskraft eine vorsätzliche oder fahrlässige Tat begangen hat, die dem Unternehmen zugerechnet werden kann (Rechtsträgerprinzip).
Andere Stimmen halten § 30 OWiG jedoch nicht für anwendbar. Sie gehen davon aus, dass die Grundsätze des supranationalen Kartellrechts für Bußgelder im Datenschutzrecht entsprechend anwendbar sind. So würde ein bloß objektiver Verstoß gegen Datenschutzvorschriften genügen, um Bußgelder direkt gegen das Unternehmen zu verhängen (Funktionsträgerprinzip). Nach dem Rechtsträgerprinzip sind die Voraussetzungen für einen Bußgeldbescheid somit strenger als nach dem Funktionsträgerprinzip. Welches Prinzip letztlich Anwendung findet ist in der Rechtsprechung stark umstritten.
Aktuelle Rechtsprechungen
Das LG Bonn (Urt. v. 11.11.2020 Az. 29 OWi 1/20 LG) vertrat dabei die Ansicht, dass die Feststellung einer rechtswidrigen und schuldhaften Handlung einer Leitungsperson nicht erforderlich sei. § 30 OWiG fände daher keine Anwendung. Das Gericht stützte seine Entscheidung auf Art. 83 Abs. 4 – Abs. 6 DSGVO, als Rechtsgrundlage für Bußgeldverstöße. Als Begründung führte das Gericht zunächst an, Sinn und Zweck der DSGVO sei eine effektive Sanktionierung von Datenschutzverstößen. Gemäß des europäischen Wirksamkeitsgrundsatzes (effet utile) hat Unionsrecht Vorrang vor nationalem Recht. Nur in Fällen, in denen die DSGVO eine Entscheidung offenlässt, darf sie durch nationales Recht ergänzt werden. Ein solcher Fall liegt hier allerdings nicht vor. Eine Anwendung des § 30 OWiG würde somit diesem Zweck zuwiderlaufen und damit eine gleichmäßige Sanktionierung auf Grundlage europaweit einheitlicher Vorschriften gefährden. Es kommt im Rahmen des Art. 83 DSGVO daher nicht darauf an welche natürliche Person für das Unternehmen gehandelt hat und ob die Geschäftsführung davon Kenntnis hatte. Ausreichend ist schon der objektive Verstoß irgendeines Mitarbeiters.
Das LG Berlin (Urt. v. 18. 02. 2021 – ((526 OWi LG) 212 Js-OWi 1/20 (1/20)) geht hingegen davon aus, dass die Verhängung von Bußgeldern gegen Unternehmen wegen Datenschutzverstößen nach Art. 83 Abs. 4 – 6 DSGVO nur unter den Voraussetzungen des § 30 OWiG in Betracht kommt. Im konkreten Verfahren verhängte die Berliner Beauftragte für Datenschutz und Informationssicherheit ein Bußgeld in Höhe von 14 500 000,00 EUR gegen die Deutsche Wohnen SE, da diese nicht erforderliche Daten von Mietern sammelte.
Das Landgericht stellte das Verfahren allerdings mit der Begründung ein, eine Gesellschaft könne niemals Betroffene in einem Bußgeldverfahren sein. Es wurde außer Acht gelassen, dass nach § 30 OWiG ein Bußgeld nur dann gegen eine juristische Person verhängt werden kann, wenn ein vertretungsberechtigtes Organ eine schuldhafte Handlung begangen hat. Die Datenschutzbeauftragte behandelte die Gesellschaft als Betroffene und warf ihr selbst DSGVO-Verstöße vor. Eine Gesellschaft könne jedoch keine Ordnungswidrigkeiten begehen, sondern nur für Verstöße ihrer Organe haften, die ihnen zugerechnet werden können. Nur wenn eine natürliche Person, zum Beispiel ein Vorstandsmitglied, eine unerlaubte Handlung begangen hat, könnte dies dem Unternehmen zuzurechnen sein. Das bedeutet Unternehmen haften nie unmittelbar für Datenschutzverstöße. Außerdem reicht es nicht aus, wenn irgendein Mitarbeiter für einen Datenschutzverstoß verantwortlich ist, sondern eine Leitungsperson muss diesen zu verantworten haben.
Die Berliner Datenschutzbeauftragte wendete ein, dies widerspreche geltendem EU-Recht. Anders als in anderen Mitgliedstaaten, wäre demnach ein Bußgeld gegen große Unternehmen aufgrund komplexer Unternehmensstrukturen häufig nicht nachweisbar.
Die Gerichte kommen somit zu unterschiedlichen Ergebnissen. Während das Urteil des LG Bonn rechtskräftig geworden ist, legte die Staatsanwaltschaft Berlin Beschwerde ein, wodurch zunächst das Kammergericht Berlin zur Entscheidung berufen war. Da es sich bei Art. 83 DSGVO um eine Norm aus dem Unionsrecht handelt ist die Zuständigkeit des EuGHs begründet, weshalb das KG ihm den Fall zur Klärung im Vorabentscheidungsverfahren (Art. 267 AEUV) vorgelegt hat. Das KG hat dabei die wesentlichen Standpunkte zusammengefasst, und sich der Ansicht des LG Bonn angenähert, wonach eine direkte Unternehmenshaftung möglich ist. Der EuGH soll nun entscheiden, ob dies tatsächlich der Fall ist. Bejahendenfalls möge er die Frage beantworten, ob Art. 83 Abs. 4 – 6 DSGVO dahingehend auszulegen ist, dass das Unternehmen den durch einen Mitarbeiter vermittelnden Verstoß schuldhaft begangen haben muss, oder ob ein ihm zurechenbarer objektiver Pflichtenverstoß ausreicht.
Fazit und Ausblick
Die aktuelle Situation kann für Unternehmen nicht zufriedenstellend sein. Zwar könnte man meinen, das Urteil des LG Berlin führe dazu, dass Unternehmen künftig weniger Bußgeldverfahren drohen. In Wahrheit werden jedoch Aufsichtsbehörden und Gerichte, solange keine höchstrichterliche Entscheidung getroffen wurde, der Meinung des LG Bonn folgen und damit einen objektiven Pflichtenverstoß als ausreichend ansehen. Da die Entscheidung des EuGHs unter Umständen noch Jahre auf sich warten lässt, sollten Unternehmen bereits jetzt handeln und vor allem ihre Führungskräfte datenschutzrechtlich sensibilisieren. So wird zumindest das Risiko verringert, dass deren Verstöße dem Unternehmen nach § 30 OWiG zugerechnet werden.