Datenschutz-Bußgelder: Drohen den Unternehmen Bußgelder in Millionenhöhe selbst ohne Verschulden auf der Leitungsebene?

Mit Geltung der DSGVO hat nicht nur das Datenschutzrecht allgemein einen Bedeutungszuwachs erfahren. Insbesondere sind ordnungswidrigkeitenrechtliche und strafrechtliche Sanktionen gegenüber Unternehmen aufgrund eines datenschutzrechtlichen Verstoßes in den Fokus der Ermittlungsbehörden und der Öffentlichkeit gerückt. Die teils spektakuläre Höhe drohender Geldbußen sorgt für öffentliche Aufmerksamkeit und stellt ein gravierendes Risiko für Unternehmen dar. Erste Geldbußen im Millionenbereich wurden bereits verhängt, beispielsweise 9,55 Mio EUR¹ gegen einen Telekommunikationsdienstleister, 14,5 Mio. EUR gegen die Deutsche Wohnen oder 210 Mio EUR gegen Google und Facebook in Frankreich.² Verstöße gegen datenschutzrechtliche Vorschriften können und sollen die Unternehmen schmerzen.

Obwohl die Datenschutzgrundverordnung (DSGVO) bereits seit Mai 2018 gilt, sind bislang noch zahlreiche Problemfelder ungeklärt. Das betrifft auch die Geldbußen. Besonders praxisrelevant ist die Frage, ob Geldbußen aufgrund eines Verstoßes nach Art. 83 DSGVO unmittelbar gegen juristische Personen festgesetzt werden können, ohne dass es eines Verschuldens auf der Leitungsebene bedarf oder ob das deutsche Sanktionsregime Anwendung findet, wonach eine Sanktionierung von juristischen Personen nur bei einem gem. § 30 OWiG zurechenbaren Verstoß einer Leitungsperson möglich ist (Rechtsträgerprinzip). Der Artikel stellt die aktuellen Rechtsfragen rund um Bußgelder von Datenschutz-Verstößen dar.

Nach aktueller Rechtslage sieht das deutsche Sanktionsregime keine unmittelbare Bebußung von Unternehmen vor, weil diese – anders als natürliche Personen – nicht schuldhaft handeln können. Ein solches schuldhaftes Handeln ist aber grundlegende Voraussetzung für eine Kriminalstrafe („Schuldprinzip“). Eine Bebußung von juristischen Personen ist nach derzeitiger Rechtslage lediglich gemäß § 30 OWiG möglich, wonach Voraussetzung ist, dass ein Verstoß vorliegt, der dem Unternehmen zugerechnet werden kann (Rechtsträgerprinzip). Zurechenbar ist ein Verstoß nur, wenn eine Leitungsperson eine fahrlässige oder vorsätzliche Tat begangen hat (sog. Anknüpfungstat). Sofern ein datenschutzrechtlicher Verstoß vorliegt, der nicht durch eine Leitungsperson persönlich begangen wurde, sondern durch einen Mitarbeiter im Unternehmen, kommt daher eine Bebußung des Unternehmens nur in Betracht, wenn einer Leitungsperson im Hinblick auf die Tat der Nicht-Leitungsperson ein Organisationsverschulden gemäß § 130 OWiG vorgeworfen werden kann. Das Organisationsverschulden ist dann die Anknüpfungstat für die Unternehmensgeldbuße gemäß § 30 OWiG.

Nach derzeitiger Rechtslage im deutschen „Unternehmensstrafrecht“ kann also ein Unternehmen nicht per se für Rechtsverstöße sanktioniert werden. Vielmehr müssen die Ermittlungsbehörden den Sachverhalt so ermitteln, dass ein Handeln einer Leitungsperson festgestellt wird, das in subjektiver Hinsicht vorwerfbar sein muss – also fahrlässig oder vorsätzlich begangen wurde.

Nach Art. 83 DSGVO hat jede Aufsichtsbehörde sicher zu stellen, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO gem. den Abs. 4, 5 und 6 „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“. Geldbußen können je nach den Umständen im Einzelfall zusätzlich oder anstelle von Maßnahmen nach Art. 58 Abs. 2 Buchs. a) bis h) und j) DSGVO verhängt werden (Abs. 2). Es ist umstritten, ob den Behörden auch hinsichtlich des „Ob“ ein Ermessen zukommt (Opportunitätsprinzip) oder sie vielmehr verpflichtet sind, bei jedem Verstoß Sanktionen zu verhängen. Die wohl h. M. geht von einem Ermessenspielraum aus.³

Soweit Art. 83 DSGVO keine Regelungen trifft – insbesondere im Hinblick auf das anzuwendende Verfahrensrecht – finden über die Verweisung in § 41 BDSG das deutsche OWiG und die StPO grundsätzlich Anwendung. Einige Vorschriften werden von der Regelung explizit ausgenommen. So sind beispielsweise gem. § 41 Abs. 1 S. 2 BDSG die §§ 17, 35 und 36 OWiG nicht anwendbar, weil die Verordnung in Art. 83 DSGVO sowohl die Bußgeldhöhe als auch die Zuständigkeit der Aufsichtsbehörden für die Verhängung von Bußgeldern abschließend regelt.

Durch die DSGVO sollten Sanktionen geschaffen werden, die „wehtun“.⁴ Bei Verstößen gegen Art. 83 Abs. 4 DSGVO – bspw. bei fehlendem Abschluss eines Auftragsverarbeitungsvertrages oder fehlender Bestellung eines Datenschutzbeauftragten –kommt eine Geldbuße von bis zu 10.000.000 EUR oder, im Falle eines Unternehmens, von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs im Konzern – je nachdem welcher Betrag höher ist – in Betracht. Verstöße nach Abs. 5 – z.B. gegen das Recht auf Erteilung von Auskunft über die verarbeiteten Daten – können sogar mit einer Geldbuße von bis zu 20.000.000 EUR oder, im Fall eines Unternehmens, von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem welcher Betrag höher ist – geahndet werden. Gleiches gilt auch für die Nichtbefolgung einer Anweisung der Aufsichtsbehörde nach Art. 58 Abs. 2 (Abs. 6).

Wie unter 3.1. erläutert, findet bei der Verhängung von Bußgeldern über den Verweis in § 41 BDSG grundsätzlich das deutsche Verfahrensrecht Anwendung, so dass auch das Sanktionsregime der Unternehmensgeldbuße gemäß § 30 OWiG erfasst wäre, denn § 30 OWiG ist im Gegensatz zu anderen Vorschriften gerade nicht explizit von der Anwendung ausgenommen. Dennoch ist die Frage höchst umstritten, ob § 30 OWiG bei der Verhängung von DSGVO-Bußgeldern tatsächlich anwendbar ist und somit eine Unternehmensgeldbuße auch nur bei Vorliegen eines zurechenbaren Verstoßes einer Leitungsperson verhängt werden kann. Die Frage war zuletzt Gegenstand zweier gerichtlicher Entscheidungen⁵ und liegt inzwischen dem EuGH⁶ zur Entscheidung vor. Kernpunkt der Diskussion ist die Frage, ob § 30 OWiG von Art. 83 Abs. 4-6 DSGVO verdrängt wird, also ob ein Anwendungsvorrang des Unionsrechts besteht.

Die Frage, ob § 30 OWiG bei der Verhängung von Bußgeldern Anwendung findet, ist von großer Bedeutung, weil es letztlich darum geht, unter welchen Voraussetzungen überhaupt eine Geldbuße gegen Unternehmen festgesetzt werden kann. Nicht nur das LG Bonn⁷ und das LG Berlin⁸ sind hier zu unterschiedlichen Ergebnissen gekommen, auch die Literatur ist uneins.⁹ Letztlich haben sich zwei entgegenstehende Meinungen herauskristallisiert. Nachfolgend sind die unterschiedlichen Ansichten kurz darzustellen und anschließend eine Bewertung der Rechtslage im Hinblick auf die zu erwartende EuGH-Entscheidung abzugeben.

Das LG Bonn hat in seinem Urteil die Auffassung vertreten – ihr haben sich einige Stimmen in der Literatur angeschlossen –, dass die Verhängung eines Bußgeldes gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt wird.¹⁰ Nach dieser Auffassung findet § 30 OWiG keine Anwendung. Eine Sanktionierung könne vielmehr unmittelbar auf Art. 83 Abs. 4-6 DSGVO gestützt werden, bei deren Anwendung entsprechend auf die Grundsätze des supranationalen Kartellrechts abzustellen sei.

Das Gericht stellt zur Begründung maßgeblich auf den Anwendungsvorrang der DSGVO sowie den Wirksamkeitsgrundsatz des Europarechts („effet utile“) ab. Eine Anwendung der einschränkenden Voraussetzungen nach § 30 OWiG würde die Verhängung von Bußgeldern in Deutschland erschweren und damit einhergehend auch zu einer divergierenden Sanktionspraxis in den Mitgliedsstaaten führen. Es sei bei Verstößen nach Art. 83 DSGVO nicht entscheidend, welche natürliche Person für den Verband gehandelt hat (unmittelbare Verbandshaftung sui generis). Schon das objektive Vorliegen eines Verstoßes irgendeines Mitarbeiters sei ausreichend. Wortlaut, Sinn und Zweck sowie Gesetzgebungsgeschichte würden eine Auslegung gebieten, nach der das kartellrechtliche Funktionsträgerprinzip Anwendung findet. Eines vorwerfbaren Verhaltens bedürfe es jedenfalls auf der Leitungsebene nicht.

Unabhängig davon, ob man der Ansicht des LG Bonn folgen will, erscheint es jedenfalls als widersprüchlich, dass auch das LG Bonn nicht gänzlich auf das Vorliegen eines vorwerfbaren Verhaltens verzichtet und diesbezüglich unklar bleibt. So führt das Gericht aus, dass die Betroffene „schuldhaft gegen Art. 32 Abs. 1 DSGVO verstoßen“ habe und das Unternehmen „ im Sinne einer Tatsachenkenntnis … vorsätzlich“ gehandelt habe. Unklar bleibt dabei, auf wessen Verhalten hierbei abgestellt wird oder ob gegebenenfalls nur eine objektiv feststellbare Pflichtwidrigkeit gemeint ist. Jedenfalls wäre für die Feststellung eines schuldhaften Verstoßes das Verhalten einer natürlichen Person notwendig, sei es in Bezug auf eigene Taten oder auch Organisations-/Aufsichtspflichten.

Das LG Bonn kommt also zu dem Ergebnis, dass ein Bußgeld wegen Datenschutz-Verstößen unmittelbar gegen eine juristische Person verhängt werden kann, ohne dass ein vorwerfbares Verhalten der Leitungsebene erforderlich ist. Die Ansicht hätte zur Folge, dass die Datenschutz-Aufsichtsbehörden geringere Ermittlungspflichten hätten und Bußgelder direkt gegen die Unternehmen verhängen könnten.

Das LG Berlin hingegen stellte ein OWi-Verfahren ein, bei dem die Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) gegen die Deutsche Wohnen SE eine Geldbuße in Höhe von 14,5 Mio € verhängt hatte.¹¹ Dabei vertrat es die zur Entscheidung des LG Bonn diametral entgegenstehende Ansicht.

Grund für die Einstellung war, dass sich aus dem Bußgeldbescheid nicht ergeben hatte, welche Leitungsperson eine Anknüpfungstat im Sinne von § 30 OWiG begangen haben soll. Das sei aber zwingende Voraussetzung, denn nach Auffassung des LG Berlin ist § 30 OWiG auch im Rahmen von Geldbußen nach Art. 83 Abs. 4-6 DSGVO anzuwenden. Somit ist eine Sanktionierung einer juristischen Person möglich, wenn eine vorwerfbar begangene Handlung einer natürlichen Person vorliegt und diese gemäß § 30 OWiG zugerechnet werden kann (Geltung des Rechtsträgerprinzips). Ein Bußgeld könne demnach nur verhängt werden, wenn eine Leitungsperson einen Verstoß gegen die DSGVO zu verantworten habe. Ein Verstoß eines Mitarbeiters – ohne, dass gleichzeitig einer Leitungsperson diesbezüglich ein Vorwurf gemacht werden kann – reiche hingegen nicht aus. 

Es bestehe keine „Pflicht zur Übernahme des unionsrechtlichen Modells“, vielmehr verbleibe „den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes ein(en) Ermessensspielraum“. Mit der Verweisungsvorschrift des § 41 BDSG habe der deutsche Gesetzgeber den ihn zustehenden Ermessensspielraum ausgenutzt. Die Vorschrift des § 30 OWiG sei – entgegen dem ursprünglichen Entwurf – gerade nicht explizit ausgeschlossen worden. Man habe sich daher für die Geltung des Rechtsträgerprinzips auch im Rahmen von Art. 83 DSGVO entschieden.

Als weiteres Argument wird durch das LG Berlin zu Recht darauf hingewiesen, dass eine Sanktionierung von Unternehmen ohne ein Verschulden auf Leitungsebene im Widerspruch zum deutschen Sanktionsregime und insbesondere dem Schuldprinzip steht, wonach jeder staatliche Strafausspruch – sowie jede Sanktionierung im Ordnungswidrigkeitenverfahren – zwingend eine schuldhafte Handlung voraus. Die Entscheidung des LG Berlin kann mithin überzeugen, da juristische Personen nicht selbst schuldhaft handeln können und es insoweit immer der Anknüpfung an die Handlung einer natürlichen Person bedarf.

Das KG Berlin¹² hat aufgrund der bestehenden Zweifel dem EuGH die Rechtsfrage zur Klärung vorgelegt, ob § 30 OWiG im datenschutzrechtlichen Bußgeldverfahren anzuwenden ist. Dabei soll zum einen geklärt werden, ob ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann ohne Feststellung einer durch eine natürliche und identifizierte Person begangene Ordnungswidrigkeit. Sofern die Frage bejaht werden sollte, soll zum anderen die Frage beantwortet werden, ob für eine Bebußung des Unternehmens ein Verschulden vorliegen muss oder im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß ausreicht.

Käme man zu dem Ergebnis, dass § 30 OWiG keine Anwendung fände, weil die Grundsätze des supranationalen Kartellsanktionsrechts für Bußgelder im Datenschutzrecht entsprechend gelten, würde zukünftig bereits ein objektiver Verstoß durch das Unternehmen gegen Datenschutzrecht ausreichen, um ein Bußgeld direkt gegen das Unternehmen zu verhängen (Funktionsträgerprinzip). Zwar handelt es sich bei der DSGVO nicht um nationales Recht. Dennoch könnte eine Entscheidung gegen eine Anwendbarkeit von § 30 OWiG und somit der Zulässigkeit einer Geldbuße auch ohne Verschulden auf der Leitungsebene, auch eine Art Vorbote für ein Unternehmensstrafrecht sein. Die Wertungen könnten möglicherweise in dem zu erwartenden Verbandssanktionengesetz entsprechend übernommen werden.

Sofern der EuGH die Auffassung vertritt, dass § 30 OWiG nicht anzuwenden ist, könnte jeder Verstoß eines Mitarbeiters gegen einzelne Datenschutz-Vorgaben zu einer Geldbuße gegen das Unternehmen führen. Die bloße Tatsache, dass es in einem Unternehmen objektiv zu einem Datenschutz-Verstoß gekommen ist, würde bereits ausreichen, Bußgelder gegen das Unternehmen zu verhängen. Das hätte zur Folge, dass selbst bei grundsätzlich effektiven Compliance-Strukturen Geldbußen drohen könnten.

Das bedeutet jedoch nicht, dass auf ein effektives Compliance-System verzichtet werden kann, da Compliance-Strukturen zumindest im Rahmen der Bemessung der Bußgeldhöhe Berücksichtigung finden. Sollte man bei der Durchsetzung der DSGVO von der Geltung des Opportunitätsprinzips ausgehen, könnten die Behörden zudem gänzlich von einem Bußgeld absehen. Unabhängig von dem Fortgang der Diskussion zu den Anforderungen an die Verhängung von Bußgeldern bleibt es bei der Empfehlung, dass jedes Unternehmen ein effektives Compliance-System einrichten sollte. So können Risiken bereits im Vorfeld stark minimiert und im Falle eines eingetretenen Rechtsverstoßes die Sanktionen abgemildert werden.