Bußgeldbescheide aufgrund von Verstößen gegen die DSGVO treffen häufig Unternehmen und juristische Personen, die rechtlich gesehen selbst nicht handeln können, sondern dies durch ihre Organe tun. Die Frage, inwiefern Datenschutzverstöße durch Mitarbeiter einem Unternehmen zugerechnet werden können, beschäftigte zuletzt das Landgericht Berlin. Mit Urteil vom 18. Februar 2021 hat dieses ein DSGVO-Bußgeld gegen die Deutsche Wohnen in Höhe von 14,5 Mio. EUR für unwirksam erklärt, weil in dem Bußgeldbescheid nicht nachgewiesen werden konnte, dass eine bestimmte Person im Hause des Unternehmens für den Verstoß gegen die DSGVO verantwortlich war. Das Thema ist hoch umstritten und die Berliner Landesdatenschutzbeauftragte hat bereits angekündigt, in Revision zu gehen. Auch wenn das LG Berlin sicher nicht das letzte Wort in dieser Frage gesprochen hat, lassen sich zumindest erste Schlüsse für Unternehmensorganisation und Compliance ziehen.

I. Aktuelle Sachlage

Die Bußgeldnorm Art. 83 DSGVO, die nach Datenschutzverstößen die Verhängung von Bußgeldern in Höhe von bis zu 20 Millionen Euro oder 4 % des jährlichen Umsatzes eines Unternehmens erlaubt, ist vielen keine Unbekannte mehr. Deutlich weniger bekannt ist jedoch die Tatsache, dass es ein allgemeines europäisches Bußgeldrecht nicht gibt. Die Verjährung und Vollstreckung von Bußgeldern ist Sache nationalen Rechts.

Nach deutschem Recht muss grundsätzlich nur derjenige ein Bußgeld zahlen, der selbst eine vorwerfbare Handlung begangen hat. Da Unternehmen in der Regel als juristische Personen organisiert sind, die als reine Rechtsgebilde selbst nicht handeln können, findet eine direkte Inanspruchnahme nur in eng umgrenzten Ausnahmefällen statt. Dreh- und Angelpunkt ist § 30 Abs. 1 OWiG. Demnach kommt eine Bußgeldzahlung eines Unternehmens nur dann in Betracht, wenn

–  eine natürliche Person einen Datenschutzverstoß begangen hat,

– bei der es sich um ein Organ der juristischen Person, einen   vertretungsberechtigten Gesellschafter oder eine sonstige Person in Leitungsfunktion handelt.

Demnach ist eine Bußgeldpflicht bei Verstößen einfacher Mitarbeiter ausgeschlossen. Außerdem können gemäß § 130 OWiG auch gegen den Inhaber des Unternehmens oder seine Vertreter Bußgelder verhängt werden, wenn dieser vorsätzlich oder fahrlässig Aufsichtsmaßnahmen unterlassen hat und es so zu dem Verstoß gekommen ist. Im Anwendungsbereich dieser Vorschriften können Bußgelder also nur bei Verstößen der genannten Personen verhängt werden. Es ist allerdings umstritten, ob diese nationalen Vorschriften im Rahmen der DSGVO anwendbar sind, da es sich bei dieser um europäisches Recht handelt. Da Art. 83 Abs. 8 DSGVO und § 41 Abs. 1 BDSG auf das OWiG verweisen, ist eine Anwendbarkeit zumindest nicht ausgeschlossen. Allerdings wird nur eine „sinngemäße“ Geltung des OWiG angeordnet, „soweit dieses Gesetz nichts anderes bestimmt“.

Demgegenüber steht das Verbandshaftungsmodell des europäischen Wettbewerbsrechts, auf das Erwägungsgrund 150 zur DSGVO jedenfalls zur Bestimmung des in der DSGVO verwendeten Unternehmensbegriffs verweist. Hier kommt es nicht darauf an, wer genau einen Verstoß begeht, solange ein solch schuldhafter Verstoß irgendwo im Unternehmen stattgefunden hat. Sofern diese Vorschriften Anwendung finden, würden an die Verhängung von Bußgeldern durch Datenschutzbehörden also deutlich geringere Anforderung gestellt als in § 30 OWiG. Lediglich bei und nur bei einem Verstoß-„Exzess“ von Mitarbeitern würde keine Zurechnung mehr stattfinden.

Mit der Frage, ob § 30 OWiG im Rahmen der DSGVO anwendbar ist, musste sich nun auch das LG Berlin auseinandersetzen.

II. Das Urteil des Landgerichts Berlin

Bereits Ende 2019 war von der Berliner Datenschutzbeauftragten aufgrund eines unzureichenden Löschkonzeptes ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen verhängt worden. Das anschließende Gerichtsverfahren vor dem LG Berlin wurde nun aufgrund eines Verfahrenshindernisses eingestellt; eine Begründung liegt bislang nicht vor.

Mitteilungen des LG Berlin gegenüber der Presse lassen sich entnehmen, dass Grund für die Einstellung war, dass bereits der Bußgeldbescheid unzureichend gewesen sei, denn er habe keine Angaben zu konkreten Tathandlungen eines Organs enthalten, obwohl dies bei Bußgeldern gegen Aktiengesellschaften wie die Deutsche Wohnen notwendig sei. Diese Einschätzung dürfte das Gericht auf den soeben erläuterten § 30 Abs. 1 OWiG gestützt haben. Das LG Berlin hält diesen offenbar für anwendbar.

Die Berliner Datenschutzbeauftragte hat jedoch bereits angekündigt, Beschwerde bei der nächsten Instanz, dem Berliner Kammergericht, einzulegen.

III. Rechtliche Einordnung

Ähnlich wie das LG Berlin entschied der Verwaltungsgerichtshof Österreich im Mai 2020 in einem vergleichbaren Verfahren und erklärte eine dem § 30 Abs. 1 OWiG vergleichbare Regelung (§ 30 DSG-Österreich) für anwendbar. Auch dieses Verfahren wurde eingestellt, da bußgeldbewehrte Datenschutzverstöße einem Organ oder einer Leitungsperson zugeordnet werden müssten. Anders als beim Urteil vom Februar handelt es sich hier um das Urteil eines obersten Gerichts.

Abweichend hat hingegen das LG Bonn im November 2020 entschieden (siehe unser Update hierzu). Hier wurde ein Bußgeld des Bundesdatenschutzbeauftragen gegen 1&1 – ebenfalls eine juristische Person – lediglich drastisch reduziert. Das Gericht in Bonn erklärte jedoch ausdrücklich, dass die Nennung einer natürlichen Person, die im Unternehmen den Datenschutzverstoß begangen hat, nicht erforderlich ist. Dies leitete das LG Bonn ebenfalls aus europarechtlichen Vorgaben her.

Ähnlich äußerte sich die Datenschutzkonferenz (DSK), die die §§ 30, 130 OWiG für nicht anwendbar hält und den Gesetzgeber deshalb aufgefordert hat, die Anwendbarkeit von §§ 30, 130 OWiG ausdrücklich auszuschließen. Dieser Aufforderung ist der Gesetzgeber jedoch gerade nicht nachgekommen und hat einen zunächst im Entwurf zum BDSG enthaltenen Ausschluss der §§ 30, 130 OWiG sogar wieder gestrichen.

Abschließend wird die Frage nach der Anwendbarkeit nationaler Bußgeldregeln wohl nur der EuGH beantworten können. Bis dahin ist es zumindest möglich, dass Art. 30 Abs. 1 OWiG Anwendung findet und ein Bußgeld nur bei Zuordnung zu einer Leitungsperson verhängt werden kann.

IV. Vorgehensweise für Unternehmen

Es ist nicht unwahrscheinlich, dass diese Frage irgendwann vom EuGH entschieden wird und dass dieser dann zu Gunsten einer einheitlichen Rechtsdurchsetzung in der EU und zu Lasten von nationalen Regeln wie § 30 OWiG entscheiden wird.

Bis dahin ist jedoch zumindest nicht auszuschließen, dass die §§ 30, 130 OWiG Anwendung finden und Bußgeldbescheide nach der DSGVO nur noch dann verhängt werden können, wenn die Datenschutzbehörde angibt, welcher Mitarbeiter oder welches Organ des Unternehmens für den Verstoß verantwortlich ist. In diesem Fall kann einer Inanspruchnahme von Unternehmen häufig schon durch eine entsprechende Strukturierung der internen Abläufe und Einhaltung von Compliance-Vorgaben vorgebeugt werden. Konkrete Maßnahmen können folgendermaßen ausgestaltet sein: