Welche Auswirkungen wird das Gesetz zur Bekämpfung von Unternehmenskriminalität auf den Datenschutz haben?

In den letzten Tagen hat die derzeitige Bundesjustizministerin, Frau Christine Lamprecht, für Furore gesorgt, als sie den ersten Referentenentwurf zum “Gesetz zur Bekämpfung von Unternehmenskriminalität“ vorgelegt und damit eine Vereinbarung der Großen Koalition (Zeile 5895-5920) eingelöst hat.

Schwerpunkte dieses Gesetzesentwurfs sind

  • die Erhöhung der Sanktion auf bis zu 10 % des konzernweiten Jahresumsatzes,
  • Reduktion der Strafe um bis zu 50 % durch Kooperation und interne Untersuchung,
  • Legalitätsprinzip statt Opportunitätsprinzip, sprich die Behörde muss bei Verdacht ermitteln,
  • Anordnung der öffentlichen Bekanntmachung des Verfahrens (Reputationsschaden),
  • Anordnung der Verbandsauflösung (die so genannte „Unternehmens-Todesstrafe“).

In der Compliance-Community sorgt dieser Entwurf für große Aufmerksamkeit, weil er die geplante Verschärfung des Unternehmensstrafrecht konsequent, u. U. zu konsequent, je nach Standpunkt, umsetzt.

Aber interessiert diese neue Initiative überhaupt den klassischen Datenschützer? Durch die DS-GVO wurden die Sanktionen für Rechtsverstöße deutlich verschärft. Man könnte meinen, dass die Bußgeldrahmen des Art. 83 DS-GVO streng seien und das „Ende der Fahnenstange“ darstellen würden. Wenn wir uns aber das Sanktionsrecht in anderen Compliance-Feldern, wie der Vermögensabschöpfung, oder dem Grundsatz, dass die Geldbuße den Vermögensvorteil übersteigen soll, anschauen, merken wir schnell, dass das Compliance-Sanktionsrecht wesentlich schärfer ist, als das des Datenschutzrechts.

Bisher waren Fragen nach Compliance-Verstößen für den Datenschutz nur dann relevant, wenn es um zwingend originäre Datenschutzfragestellungen ging. Ein Verstoß konnte daher nicht mehrere Compliance-Bereiche sanktionsrechtlich eröffnen. So hatte der EuGH festgestellt, dass Fragen im Zusammenhang mit personenbezogenen Daten, die als solche nicht wettbewerbsrechtlicher Natur sind, nach dem Datenschutzrecht zu beantworten sind (EuGH, Urteil vom 23.11.2006, C-238/05- ASNEF-EQUIFAX). So sah es auch die EU-Kommission im Facebook/ WhatsApp-Fall, Case M.7217.

Die kartellrechtliche Dimension von Datenschutzverstößen

Allerdings stellt sich aufgrund des Wandels der Datenverarbeitung, insbesondere aber des wachsenden Markts für Daten, die Frage, ob diese Haltung des EuGH und der EU-Kommission künftig aufrecht erhalten werden kann. Das Facebook/ WhatsApp-Bußgeldverfahren hat aufgezeigt, dass datenschutzrechtliche Probleme auch eine kartellrechtliche Dimension entfalten können. Im konkreten Fall war die Datenmigration zwischen WhatsApp und Facebook euphemistisch gesprochen „problematisch“. Dieser Fall hatte aber nicht nur eine datenschutzrechtliche Komponente, weil hier Nutzerdaten ausgetauscht wurden und der Nutzer dies nicht ohne weiteres erkennen konnte, sondern auch eine kartellrechtliche Seite, weil die Datenmigration eine Verstärkung der marktbeherrschenden Stellung von Facebook bedeutete. Aufgrund der Beherrschung dieser zwei weit verbreiteten Tools kam hier der so genannte Lock-In-Effekt zum Tragen, der den Usern einen Systemwechsel erschwert.

Die Hamburgische Aufsichtsbehörde hat die datenschutzrechtliche Frage zum Anlass genommen, eine Anordnung mit Sofortvollzug gegen Facebook zu erlassen, die dann vom VG Hamburg in wesentlichen Teilen bestätigt wurde. Im Rahmen eines parallelen Prüfverfahrens hat die EU-Kommission gegen Facebook ein Bußgeld in Höhe von EUR 110.000.000,00 wegen Verstoß gegen die Fusionskontrollverordnung aufgrund des Vorwurfs der Falschaussage und wahrheitswidrigen Angaben im Fusionskontrollverfahren verhängt. Hier wurde der Verstoß aus datenschutzrechtlicher Sicht, aber auch kartellrechtlich bewertet und sanktioniert.

Doppelbestrafung?

Der Jurist (und auch die Juristin!) denkt dabei sofort an den Grundsatz „ne bis in idem“, der eine Doppelbestrafung einer Tat verbietet. Eine Sanktion durch eine Behörde soll demnach die Sanktionierung des gleichen Verstoßes durch eine andere Behörde sperren.

Doch hier lauert für die Unternehmen eine große Gefahr, weil dieses Doppelbestrafungsverbot dann nicht gilt, wenn die Zielrichtung der möglichen Verfahren unterschiedlich ist oder beide nicht gleich repressiv oder präventiv sind. Wenn also die datenschutzrechtliche Sanktion repressiv ist, schließt das eine kartell- oder GWB-rechtliche Sanktion präventiver Natur nicht aus.

Auch wird häufig übersehen, dass der Datenschutzverstoß nicht selten mit einer Tathandlung einhergeht, die datenschutzrechtlich unproblematisch ist, aber gleichwohl gegen andere Gesetze verstößt; um beim Beispiel von Facebook zu bleiben: Wenn also eine rechtswidrige Zusammenführung oder Migration von Datenbanken mit einer Täuschung einer Kartellkontrollbehörde (die eben dieses Risiko befürchtet) einhergeht, dann haben wir mehrere tatmehrheitliche Rechtsverstöße, die gesondert verfolgt werden (können).

Compliance-Bußgelder

Und vor diesem Hintergrund werden künftig Rechtsverstöße, wie wir sie in der Vergangenheit im Zusammenhang mit Facebook erlebt haben, eine wesentlich strengere Reaktion der Aufsichtsbehörden nach sich ziehen. Während die Landesbeauftragten für Datenschutz im Allgemeinen bei der Verhängung von Bußgeldern eher defensiv aufgestellt sind, werden andere Compliance-Verstöße deutlich schärfer und wesentlich häufiger sanktioniert. Und wenn man sich vor Augen führt, dass der Gesetzentwurf den Behörden das Recht zur Entscheidung über Ermittlung durch die Einführung des Legalitätsprinzips nimmt, werden wir, sollte dieser Entwurf zum Tragen kommen, mit einem deutlichen Anstieg von Compliance-Bußgeldern in beträchtlicher Höhe zu rechnen haben. Dann bleibt nur zu hoffen, dass diese Unternehmen ein funktionierendes Compliance-Management-System haben, mit dem sich die Strafe mildern lässt.