Ein gegenwärtiges Verfahren vor dem Europäischen Gerichtshof wirft Licht auf die Frage, welche Voraussetzungen gelten, wenn eine Datenschutzbehörde Bußgeld gegen ein Unternehmen wegen Verstoßes gegen die Datenschutzgrundverordnung ("DSGVO") erhebt. Umstritten ist, ob dem Verstoßenden ein Verschulden zur Last gelegt werden muss. Viele Datenschutzbehörden in Deutschland gehen davon aus, ein solches sei nicht erforderlich. Es bestehe beim Verstoß damit eine sogenannte verschuldensunabhägige Haftung. Der Generalstaatsanwalt Manuel Campos Sánchez-Bordon hat nun vor dem Prozess seine Schlussanträge vorgelegt. Er lehnt eine strikte Haftung wegen Verstößen ab.
Nach Artikel 83 DSGVO drohen hohe Bußgelder bei Verstößen gegen die DSGVO. Dabei erklärt die DSGVO jedoch nicht das Verfahren, wie Bußgelder verhängt werden. Das nationale Ordnungswidrigkeitengesetz ("OWiG") ergänzt die DSGVO. Umstritten ist dabei, auf wie viele und welche Vorschriften des OWiGs zurückgegriffen werden kann. Die Datenschutzbehörden sind der Auffassung, dass insbesondere § 30 OWiG und 130 OWiG keine Anwendung finden sollen.
§ 30 OWiG Geldbuße gegen juristische Personen und Personenvereinigungen
(1) Hat jemand
1. als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs,
2. als Vorstand eines nicht rechtsfähigen Vereins oder als Mitglied eines solchen Vorstandes,
3. als vertretungsberechtigter Gesellschafter einer rechtsfähigen Personengesellschaft,
4. als Generalbevollmächtigter oder in leitender Stellung als Prokurist oder Handlungsbevollmächtigter einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung oder
5. [...]
eine Straftat oder Ordnungswidrigkeit begangen, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder die juristische Person oder die Personenvereinigung bereichert worden ist oder werden sollte, so kann gegen diese eine Geldbuße festgesetzt werden.(1) Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. [...]
Nach den Vorschriften muss, sofern ein Unternehmen im Verdacht steht, gegen die DSGVO verstoßen zu haben, dem Geschäftsführer und Gesellschafter beziehungsweise einer ähnlich zu qualifizierenden Person der Vorwurf gemacht werden können, selbst gegen die DSGVO verstoßen zu haben. Verstoßen Mitarbeitende gegen die DSGVO, die nicht denselben Rang wie ein Gesellschafter oder Geschäftsführer haben, muss diesen ein Aufsichtspflichtverstoß (durch unzureichendes Überwachen) nachgewiesen werden.
Das erfordert umständliche Beweisfindung, wie der Dieselskandal zum Beispiel zeigt, bei dem Gerichte auf eine ähnliche Regelung im Zivilrecht abstellten.
Die Berliner Datenschutzbehörde belegte das Immobilienunternnehmen Deutsches Wohnen wegen Verstöße gegen die DSGVO mit einem Bußgeld von 14 Millionen Euro. Der Vorwurf der Berliner Behörde: das Unternehmen habe personenbezogene Daten zu lange gespeichert.
Die Datenschutzbehörde vertritt die Ansicht, dass ein persönliches Verschulden der Gesellschafter von Deutsches Wohnen nicht vorliegen müsste und prüfte es entsprechend nicht. Dagegen wehrte sich Deutsches Wohnen und klagte. Zudem führte es an, dass ihr selbst ein Vorwurf gemacht werden müsse. Jedenfalls in Gestalt einer unzureichenden Überwachung ihrer Mitarbeitenden.
Nachdem das Landgericht Berlin Deutsches Wohnen Recht gab, zog die Staatsanwaltschaft vor das Kammergericht Berlin. Dieses verwies die Sache wegen Auslegungsschwierigkeiten zum Europäischen Gerichtshof.
Manuel Campos Sánchez-Bordon erteilte den Ansichten der Datenschutzbehörden eine Absage. "Jedenfalls spricht Art. 83 DSGVO meines Erachtens gegen ein System der objektiven (verschuldensunabhängigen) Verantwortlichkeit im Bereich von Sanktionen, d. h., er setzt Vorsatz oder Fahrlässigkeit bei der strafbaren Handlung voraus." Dies begründete er damit, dass Artikel 83 DSGVO auf den Grundsatz der Verhältnismäßigkeit abstelle und die Vorschrift die Begriffe auch in anderen Kontexten erwähne.
Nun bleibt abzuwarten, ob der Europäische Gerichtshof der Argumentation des Generalanwaltes folgt oder diese ablehnt. Sollte er der Argumentationslinie folgen, würde dies zu einer erheblichen Schwächung von nationalen Datenschutzbehörden führen. Diese müssten einen größeren Ermittlungsaufwand leisten. Vor allem Datenschutzverstöße von großen Unternehmen werden damit schwerlich nachweisbar.
Bei weiteren Fragen zum Thema IT- und Datenschutzrecht, stehen wir Ihnen gerne auch persönlich zur Seite. Terminvereinbarungen können Sie während unserer Bürozeiten unter der Telefonnummer 0201-24030 oder per Email unter info@schumacherlaw.com vornehmen.
Ihre Kanzlei Schumacher & Partner
Rechtsanwälte für IT- und Datenschutzrecht in Essen