Bußgeld Kapitalgesellschaft? Datenschutzpanne | IT-Medienrecht

Erfahren Sie, ob ein Bußgeld gegen eine Kapitalgesellschaft bei einer Datenschutzpanne verhängt werden kann. Aktuelle Rechtslage und das Urteil im Fall…

Das Wichtigste in Kürze

  • Das Landgericht Berlin hat ein Bußgeldverfahren gegen die „Deutsche Wohnen SE“ eingestellt, da es die Verhängung eines Bußgeldes direkt gegen eine juristische Person als unzulässig ansieht.
  • Nach Ansicht des Landgerichts Berlin können Ordnungswidrigkeiten nur von natürlichen Personen begangen werden; juristische Personen können lediglich als Nebenbeteiligte auftreten.
  • Diese Rechtsauffassung steht im Widerspruch zur Ansicht des Landgerichts Bonn und der allgemeinen Auslegung der DSGVO, die auch Bußgelder gegen juristische Personen vorsieht.
  • Die Entscheidung des Landgerichts Berlin könnte dazu führen, dass Datenschutzbehörden interne Unternehmensstrukturen und Verantwortlichkeiten wesentlich detaillierter prüfen müssen.
  • Die bevorstehende Entscheidung des Kammergerichts wird richtungsweisend für die Durchsetzung von DSGVO-Bußgeldern und die Compliance-Anforderungen für Unternehmen in Deutschland sein.
DSGVO-Bußgelder gegen juristische Personen: Eine spannende Rechtsfrage

DSGVO-Bußgelder gegen juristische Personen: Eine spannende Rechtsfrage

Berlin und der Datenschutz sind aktuell nicht die besten Freunde. Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit genießt nicht immer den besten Ruf. Ob dies zu Recht geschieht, sei dahingestellt. Vieles im Bereich des Datenschutzes ist zudem aktuell umstritten.

Trotzdem besteht die Möglichkeit, dass das Kammergericht in Berlin bald über eine sehr spannende Rechtsfrage zu entscheiden hat: Kann in Deutschland ein Bußgeld gegen ein Unternehmen, also eine juristische Person, verhängt werden oder ist dies nur gegen eine natürliche Person der Fall?

Der Fall „Deutsche Wohnen SE“: Was ist passiert?

Die Strafkammer 26 des Landgerichts Berlin hat ein Bußgeldverfahren gegen die „Deutsche Wohnen SE“ in Höhe von 14,5 Millionen Euro eingestellt. Der Grund: Der Bußgeldbescheid leide an gravierenden Mängeln.

Nach der Pressemitteilung von „Deutsche Wohnen“ und dem Landgericht Berlin hieß es zunächst:

„Die Strafkammer 26 des Landgerichts Berlin hat das Verfahren eingestellt, weil der Bußgeldbescheid unwirksam war. Gegen den Beschluss des Landgerichts Berlin kann die Berliner LfDI binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen.“

Anfangs wurde spekuliert, was die genauen Gründe für die Einstellung sein könnten und wo die Behörde Fehler gemacht haben könnte. Jetzt ist klar: Es geht um eine heikle Rechtsfrage, die seit Inkrafttreten der DSGVO extrem umstritten ist und vielen kaum bewusst ist. Das Landgericht Berlin schreibt in seinem Beschluss:

Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.

Der Bußgeldbescheid wurde gegen die Deutsche Wohnen SE erlassen, mithin gegen eine europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit im Sinne von § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG und Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001. Sie wurde von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BInBDI) als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt.

Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung bekräftigte die Behörde, dass sich der Bescheid allein gegen die Deutsche Wohnen SE, vertreten durch ihre Geschäftsführung, richten würde.

Die Position des Landgerichts Berlin zur Haftung juristischer Personen

Das Landgericht Berlin vertritt die Auffassung, dass eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein kann. Dies gelte auch nicht für Verfahren nach Artikel 83 der Datenschutz-Grundverordnung (DSGVO). Eine Ordnungswidrigkeit könne demnach nur eine natürliche Person vorwerfbar begehen.

Der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Daher könne die juristische Person im Bußgeldverfahren nur als Nebenbeteiligte auftreten. Die Verhängung einer Geldbuße gegen eine juristische Person ist in § 30 OWiG geregelt.

Dieser Paragraf findet nach Meinung des Landgerichts über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absätze 4 bis 6 DSGVO Anwendung.

Das Landgericht erläutert weiter:

Abweichende Ansicht des Landgerichts Bonn und die Berliner Replik

Das Landgericht Bonn hatte in einer sehr aktuellen Entscheidung die Sache noch anders beurteilt. Es argumentierte, dass für die DSGVO ein Anwendungsvorrang vor nationalen Vorschriften existiere. Andernfalls könnte es zu unerwünschten Wettbewerbsverzerrungen in den Mitgliedstaaten der Europäischen Union kommen, was die Durchsetzung europarechtlicher Datenschutzregeln betrifft.

Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne. Wo dies nicht gelänge, seien sie gar nicht anzuwenden.

Landgericht Berlin widerspricht dem Landgericht Bonn

Dieser Rechtsauffassung will sich das Landgericht Berlin ausdrücklich nicht anschließen.

Gemäß Artikel 83 DSGVO in Verbindung mit Artikel 4 Nr. 7 und 8 DSGVO können Geldbußen für Verstöße gegen die DSGVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ oder „Auftragsverarbeiter“ verhängt werden. Allerdings enthält die Verordnung keine näheren Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße.

Die Argumentation des Landgerichts wird zusätzlich durch die vermeintliche Auffassung des Gesetzgebers gestützt:

Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSGRefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.

Des Weiteren betont das Landgericht, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) keine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergebe. Dieses belasse den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, insbesondere unter Beachtung des Schuldgrundsatzes, auszufüllen sei.

Was sind die Folgen dieser Rechtsauffassung?

Die Frage ist somit sehr spannend und wird, nachdem die Behörde Beschwerde eingelegt hat, nun vom Kammergericht zu entscheiden sein. Welche Auswirkungen hat diese Entscheidung jedoch für Datenschutzverantwortliche und Unternehmen?

Entgegen erster Stimmen, die möglicherweise Jubelstimmung unter „Startup-Hipstern“ erwarten, könnten sich zwei nicht ganz so berauschende und ein potenziell positiver Aspekt ergeben. Das Landgericht kritisiert die Behörde unterschwellig wie folgt:

Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i. S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass es den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DSGVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können.

Potenzielle Auswirkungen für Unternehmen und Verantwortliche

Was für den Datenschutz auf den ersten Blick gut klingen mag, dürfte für Unternehmen nachteilig sein. Mit Sicherheit liegen überall „Leichen im Keller“, die nun eventuell entdeckt werden. Dies macht Prüfungen aufwendiger und reduziert die Anzahl der betroffenen Unternehmen. Wenn ein Unternehmen jedoch betroffen ist, wird der Aufwand für die Kommunikation mit der Behörde ungleich höher und teurer.

Zudem könnten sich Probleme für die natürlichen Personen, sprich die Verantwortlichen, ergeben. Wird ein persönlicher Vorwurf begründet, haftet die juristische Person für den festgestellten Fehler des Organs. Dies könnte, je nach arbeitsrechtlicher Konstellation, zu einem Regressanspruch des Unternehmens führen und arbeitsrechtliche beziehungsweise steuerrechtliche Probleme auslösen.

Diese Entwicklung unterstreicht die Notwendigkeit einer soliden Compliance-Strategie, um rechtliche Risiken zu minimieren.

Fazit

Das Urteil des Landgerichts Berlin im Fall „Deutsche Wohnen SE“ wirft entscheidende Fragen zur Verhängung von DSGVO-Bußgeldern gegen juristische Personen in Deutschland auf. Die unterschiedlichen Auffassungen der Gerichte zeigen die aktuelle Rechtsunsicherheit. Die bevorstehende Entscheidung des Kammergerichts wird richtungsweisend sein und voraussichtlich tiefgreifende Auswirkungen auf die Praxis der Datenschutzdurchsetzung und die Compliance-Anforderungen für Unternehmen haben.

Häufig gestellte Fragen

Kann in Deutschland ein Bußgeld wegen einer Datenschutzpanne gegen eine Kapitalgesellschaft ergehen?
Das Landgericht Berlin vertritt die Auffassung, dass eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein kann und eine Ordnungswidrigkeit nur eine natürliche Person begehen kann. Die Verhängung einer Geldbuße gegen eine juristische Person ist demnach nur als Nebenbeteiligte im Rahmen eines Verfahrens gegen eine natürliche Person möglich. Das Kammergericht wird hierüber entscheiden.
Worum ging es im Fall „Deutsche Wohnen SE“?
Im Fall „Deutsche Wohnen SE“ wurde ein Bußgeldverfahren in Höhe von 14,5 Millionen Euro vom Landgericht Berlin eingestellt. Der Grund war, dass der Bußgeldbescheid gravierende Mängel aufwies, da er sich direkt gegen die juristische Person richtete, was nach Ansicht des Gerichts nicht zulässig ist.
Wie unterscheidet sich die Auffassung des Landgerichts Berlin von der des Landgerichts Bonn?
Das Landgericht Berlin lehnt die direkte Verhängung von Bußgeldern gegen juristische Personen ab. Das Landgericht Bonn hingegen argumentierte, dass für die DSGVO ein Anwendungsvorrang vor nationalen Vorschriften existiert und nationale Regeln so auszulegen sind, dass sie keine Vollzugsdefizite erzeugen, um Wettbewerbsverzerrungen in der EU zu vermeiden.
Welche potenziellen Folgen hätte die Rechtsauffassung des Landgerichts Berlin für Unternehmen?
Sollte sich die Auffassung des Landgerichts Berlin durchsetzen, müssten Datenschutzbehörden deutlich gründlicher interne Strukturen und Entscheidungsabläufe von Unternehmen prüfen. Dies würde Prüfungen aufwendiger und teurer machen und könnte zu Problemen für natürliche Personen (Verantwortliche) führen, inklusive Regressansprüchen und arbeitsrechtlichen/steuerrechtlichen Problemen.
Was ist eine solide Compliance-Strategie im Kontext dieser Rechtsunsicherheit?
Eine solide Compliance-Strategie ist notwendig, um rechtliche Risiken zu minimieren. Sie hilft Unternehmen, sich auf die gründlicheren Prüfungen der Datenschutzbehörden vorzubereiten und potenzielle persönliche Haftungen für Verantwortliche zu vermeiden, indem interne Verantwortlichkeiten klar definiert und eingehalten werden.