Das Wichtigste in Kürze
- Das Landgericht Berlin hat ein Bußgeldverfahren gegen die „Deutsche Wohnen SE“ eingestellt, da es die Verhängung eines Bußgeldes direkt gegen eine juristische Person als unzulässig ansieht.
- Nach Ansicht des Landgerichts Berlin können Ordnungswidrigkeiten nur von natürlichen Personen begangen werden; juristische Personen können lediglich als Nebenbeteiligte auftreten.
- Diese Rechtsauffassung steht im Widerspruch zur Ansicht des Landgerichts Bonn und der allgemeinen Auslegung der DSGVO, die auch Bußgelder gegen juristische Personen vorsieht.
- Die Entscheidung des Landgerichts Berlin könnte dazu führen, dass Datenschutzbehörden interne Unternehmensstrukturen und Verantwortlichkeiten wesentlich detaillierter prüfen müssen.
- Die bevorstehende Entscheidung des Kammergerichts wird richtungsweisend für die Durchsetzung von DSGVO-Bußgeldern und die Compliance-Anforderungen für Unternehmen in Deutschland sein.
DSGVO-Bußgelder gegen juristische Personen: Eine spannende Rechtsfrage
Berlin und der Datenschutz sind aktuell nicht die besten Freunde. Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit genießt nicht immer den besten Ruf. Ob dies zu Recht geschieht, sei dahingestellt. Vieles im Bereich des Datenschutzes ist zudem aktuell umstritten.
Trotzdem besteht die Möglichkeit, dass das Kammergericht in Berlin bald über eine sehr spannende Rechtsfrage zu entscheiden hat: Kann in Deutschland ein Bußgeld gegen ein Unternehmen, also eine juristische Person, verhängt werden oder ist dies nur gegen eine natürliche Person der Fall?
Der Fall „Deutsche Wohnen SE“: Was ist passiert?
Die Strafkammer 26 des Landgerichts Berlin hat ein Bußgeldverfahren gegen die „Deutsche Wohnen SE“ in Höhe von 14,5 Millionen Euro eingestellt. Der Grund: Der Bußgeldbescheid leide an gravierenden Mängeln.
Nach der Pressemitteilung von „Deutsche Wohnen“ und dem Landgericht Berlin hieß es zunächst:
„Die Strafkammer 26 des Landgerichts Berlin hat das Verfahren eingestellt, weil der Bußgeldbescheid unwirksam war. Gegen den Beschluss des Landgerichts Berlin kann die Berliner LfDI binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen.“
Anfangs wurde spekuliert, was die genauen Gründe für die Einstellung sein könnten und wo die Behörde Fehler gemacht haben könnte. Jetzt ist klar: Es geht um eine heikle Rechtsfrage, die seit Inkrafttreten der DSGVO extrem umstritten ist und vielen kaum bewusst ist. Das Landgericht Berlin schreibt in seinem Beschluss:
Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.
Der Bußgeldbescheid wurde gegen die Deutsche Wohnen SE erlassen, mithin gegen eine europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit im Sinne von § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG und Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001. Sie wurde von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BInBDI) als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt.
Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung bekräftigte die Behörde, dass sich der Bescheid allein gegen die Deutsche Wohnen SE, vertreten durch ihre Geschäftsführung, richten würde.
Die Position des Landgerichts Berlin zur Haftung juristischer Personen
Das Landgericht Berlin vertritt die Auffassung, dass eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein kann. Dies gelte auch nicht für Verfahren nach Artikel 83 der Datenschutz-Grundverordnung (DSGVO). Eine Ordnungswidrigkeit könne demnach nur eine natürliche Person vorwerfbar begehen.
Der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Daher könne die juristische Person im Bußgeldverfahren nur als Nebenbeteiligte auftreten. Die Verhängung einer Geldbuße gegen eine juristische Person ist in § 30 OWiG geregelt.
Dieser Paragraf findet nach Meinung des Landgerichts über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absätze 4 bis 6 DSGVO Anwendung.
Das Landgericht erläutert weiter:
- Eine Geldbuße kann in einem einheitlichen Verfahren gegen die juristische Person festgesetzt werden, wenn wegen der Tat des Organmitglieds oder Repräsentanten (der natürlichen Person) gegen diese ein Bußgeldverfahren durchgeführt wird.
- Alternativ ist ein selbstständiges Verfahren nach § 30 Absatz 4 OWiG möglich. Voraussetzung hierfür ist, dass ein Verfahren wegen der Tat des Organmitglieds oder Repräsentanten der juristischen Person nicht eingeleitet oder eingestellt wird.
- Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem selbstständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitglieds der juristischen Person festgestellt werden.
Abweichende Ansicht des Landgerichts Bonn und die Berliner Replik
Das Landgericht Bonn hatte in einer sehr aktuellen Entscheidung die Sache noch anders beurteilt. Es argumentierte, dass für die DSGVO ein Anwendungsvorrang vor nationalen Vorschriften existiere. Andernfalls könnte es zu unerwünschten Wettbewerbsverzerrungen in den Mitgliedstaaten der Europäischen Union kommen, was die Durchsetzung europarechtlicher Datenschutzregeln betrifft.
Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne. Wo dies nicht gelänge, seien sie gar nicht anzuwenden.
Landgericht Berlin widerspricht dem Landgericht Bonn
Dieser Rechtsauffassung will sich das Landgericht Berlin ausdrücklich nicht anschließen.
Gemäß Artikel 83 DSGVO in Verbindung mit Artikel 4 Nr. 7 und 8 DSGVO können Geldbußen für Verstöße gegen die DSGVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ oder „Auftragsverarbeiter“ verhängt werden. Allerdings enthält die Verordnung keine näheren Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße.
Die Argumentation des Landgerichts wird zusätzlich durch die vermeintliche Auffassung des Gesetzgebers gestützt:
Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSGRefE noch die ausdrückliche Nichtanwendung der §§ 30, 130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des § 41 Absatz 1 Satz 2 BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.
Des Weiteren betont das Landgericht, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) keine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergebe. Dieses belasse den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, insbesondere unter Beachtung des Schuldgrundsatzes, auszufüllen sei.
Was sind die Folgen dieser Rechtsauffassung?
Die Frage ist somit sehr spannend und wird, nachdem die Behörde Beschwerde eingelegt hat, nun vom Kammergericht zu entscheiden sein. Welche Auswirkungen hat diese Entscheidung jedoch für Datenschutzverantwortliche und Unternehmen?
Entgegen erster Stimmen, die möglicherweise Jubelstimmung unter „Startup-Hipstern“ erwarten, könnten sich zwei nicht ganz so berauschende und ein potenziell positiver Aspekt ergeben. Das Landgericht kritisiert die Behörde unterschwellig wie folgt:
Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i. S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass es den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DSGVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können.
Potenzielle Auswirkungen für Unternehmen und Verantwortliche
- Datenschutzbehörden müssten deutlich gründlicher in die internen Strukturen und Entscheidungsabläufe von Unternehmen blicken.
- Prüfungen würden aufwendiger und teurer für Unternehmen.
- Die Anzahl der betroffenen Unternehmen könnte sich reduzieren, aber der Aufwand für die Kommunikation mit der Behörde würde ungleich höher.
- Es könnten sich Probleme für die natürlichen Personen (Verantwortliche) ergeben, inklusive Regressansprüchen und arbeitsrechtlichen/steuerrechtlichen Problemen.
Was für den Datenschutz auf den ersten Blick gut klingen mag, dürfte für Unternehmen nachteilig sein. Mit Sicherheit liegen überall „Leichen im Keller“, die nun eventuell entdeckt werden. Dies macht Prüfungen aufwendiger und reduziert die Anzahl der betroffenen Unternehmen. Wenn ein Unternehmen jedoch betroffen ist, wird der Aufwand für die Kommunikation mit der Behörde ungleich höher und teurer.
Zudem könnten sich Probleme für die natürlichen Personen, sprich die Verantwortlichen, ergeben. Wird ein persönlicher Vorwurf begründet, haftet die juristische Person für den festgestellten Fehler des Organs. Dies könnte, je nach arbeitsrechtlicher Konstellation, zu einem Regressanspruch des Unternehmens führen und arbeitsrechtliche beziehungsweise steuerrechtliche Probleme auslösen.
Diese Entwicklung unterstreicht die Notwendigkeit einer soliden Compliance-Strategie, um rechtliche Risiken zu minimieren.
Fazit
Das Urteil des Landgerichts Berlin im Fall „Deutsche Wohnen SE“ wirft entscheidende Fragen zur Verhängung von DSGVO-Bußgeldern gegen juristische Personen in Deutschland auf. Die unterschiedlichen Auffassungen der Gerichte zeigen die aktuelle Rechtsunsicherheit. Die bevorstehende Entscheidung des Kammergerichts wird richtungsweisend sein und voraussichtlich tiefgreifende Auswirkungen auf die Praxis der Datenschutzdurchsetzung und die Compliance-Anforderungen für Unternehmen haben.