Nachdem erste Entscheidungen deutscher Gerichte ergangen sind, die Bußgelder gegen Unternehmen aufgrund von Datenschutzverstößen zum Gegenstand hatten (wir berichteten), äußert sich jetzt das Bundesinnenministerium im Rahmen der Evaluierung des Bundesdatenschutzgesetzes (BDSG) ebenfalls zu dieser Thematik.

LG Bonn vs. LG Berlin

Bislang gehen die deutschen Aufsichtsbehörden im Datenschutz von der Geltung des funktionalen Unternehmensbegriffs, der aus dem Kartellrecht stammt, auch im Datenschutzrecht aus. Das heißt, dass danach Bußgelder gegen Unternehmen verhängt werden können, unabhängig von der Feststellung eines Fehlverhaltens einer konkreten Person. Das LG Bonn bestätigte diese Annahme mit seinem Urteil vom 11. November 2020 (Urt. v. 11.11.2020 Az. 29 OWi 1/20 LG), indem es das Gesetz über Ordnungswidrigkeiten (OWiG) in diesem Anwendungsbereich für nicht europarechtskonform erachtete, das Bußgeld lediglich und konsequent in der Höhe korrigierte, nicht aber den Adressaten des Bußgelds in Frage stellte.

Eine konträre Ansicht vertrat das LG Berlin in diesem Jahr, indem es am 18. Februar 2021 urteilte, dass ein solches Bußgeld ausschließlich eine natürliche Person treffen könne und gerade kein Unternehmen (LG Berlin, Beschluss vom 18.02.2021, Az. (526 OWi LG) 212 Js-Owi 1/20 (1/20)). Vielmehr sei auch im Bereich der datenschutzrechtlichen Bußgeldverfahren das OwiG (hier §§ 130, 30 OwiG) uneingeschränkt anzuwenden. Dies führt dazu, dass eine Leitungsperson rechtswidrig und schuldhaft, zumindest vorwerfbar, eine unternehmensbezogene Straftat oder Ordnungswidrigkeit begangen haben muss, um ein Bußgeld gegen das Unternehmen verhängen zu können. Auch die Verletzung einer Aufsichtspflicht kann ausreichend sein.

Kurz gesagt: Ohne beweisbares Fehlverhalten konkreter Personen in leitender Position, besteht nach diesem Verständnis nach deutschem Bußgeldrecht keine Möglichkeit, ein Bußgeld zu verhängen.

Das LG Berlin folgt hier insbesondere rechtsstaatlichen Grundsätzen, wie dem Schuldprinzip. Die Begründung eines staatlichen Straf- oder Bußgeldausspruchs erfordert den Bezug zu einer schuldhaften Handlung einer oder mehrerer Personen.

Bundesinnenministerium

Die Konsequenzen dieser Annahme bestätigt nunmehr auch das Bundesinnenministerium in seinem Bericht zur Evaluierung des BDSG. Es geht davon aus, dass eine Unternehmenshaftung, bei der eine Verantwortlichkeit des Unternehmens angenommen wird, unabhängig davon, wer den Verstoß begangen hat, nicht dem Willen des deutschen Gesetzesgebers entspricht. Dies folge insbesondere aus dem Umstand, dass bei der Neufassung des BDSG in § 41 BDSG bewusst darauf verzichtet wurde, die Anwendbarkeit der §§ 130, 30 OWiG auszunehmen, wenngleich andere Regelungen des OWiG explizit ausgenommen wurden.

„Durch § 41 Absatz 2 Satz 1 und 2 BDSG wird der Regelungsauftrag in Artikel 83 Absatz 8 DSGVO ausgeführt. Dazu werden für Bußgeldverfahren wegen Verstößen nach Artikel 83 Absatz 4 bis 6 DSGVO mit wenigen Ausnahmen die Vorschriften des OWiG und der allgemeinen Gesetze über das Strafverfahren entsprechend zur Anwendung gebracht.“

Das Bundesinnenministerium betont, dass § 41 Absatz 1 Satz 1 BDSG nicht zu Rechtsunsicherheit führe, sondern „eine übliche und den Anforderungen der Rechtsförmlichkeit entsprechende Analogieverweisung“ darstelle. Der Gesetzgeber habe sich zudem nicht nur in Kenntnis der Rechtsfolgen, sondern auch „in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden zu dieser Thematik – dafür entschieden (…), die §§ 30, 130 OWiG nicht aus den nach § 41 Absatz 1 Satz 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen.“

Andernfalls sei es nach Ansicht des Bundesinnenministeriums nicht zu erklären, warum den Mitgliedstaaten die Regelungshoheit über die Einzelheiten des Bußgeldverfahrens zugesprochen werde.

Fazit und Ausblick

Auch nach der Bestätigung des Bundesinnenministeriums sollten Unternehmen nicht davon ausgehen, dass die Aufsichtsbehörden nun zurückhaltender agieren oder keine Bußgelder mehr zu erwarten sind. Vielmehr rechnen wir damit, dass ohne höchstrichterliche Klärung – durch eine Entscheidung des Europäischen Gerichtshofs – der bisherigen Auffassung der hiesigen Datenschutz-Aufsichtsbehörden gefolgt wird und Unternehmen zunächst (weiterhin) Adressaten der Bußgelder bleiben.

Sofern die Rechtsansichten des LG Berlin und des Bundesinnenministeriums bestätigt werden sollten, gilt es umso mehr, Beschäftigte sorgsam und gewissenhaft auszuwählen, zu sensibilisieren und instruieren sowie auch Mechanismen zur Überprüfung der Einhaltung des betrieblichen Datenschutzes vorzusehen und durchzusetzen. Die Anforderungen an Kontrollen und interne Maßnahmen, wie z.B. verpflichtende und nachweisbare Teilnahme an regelmäßigen Datenschutz-Schulungen dürften also zunehmen. Die Dokumentation und Umsetzung von Maßnahmen zur Vermeidung von Datenschutzverstößen bleiben zudem von hoher Relevanz.

Auch die Aufsichtsbehörden sehen sich bei Anwendbarkeit des OWiG neuen Herausforderungen gegenüber. Sie sind in der Pflicht, Tat und Täter bereits im Bußgeldbescheid zu konkretisieren und eine entsprechende Beweislage vorzuhalten. Ob dies zu häufigeren bzw. tiefergehenden Prüfungen führen wird, bleibt abzuwarten.

Wir behalten die Entwicklungen der Rechtsprechung im Blick – bis der Europäische Gerichtshof entscheidet können noch Jahre vergehen – und informieren Sie weiterhin an dieser Stelle.