Kann ein Bußgeld wegen einer Datenschutzpanne gegen eine Kapitalgesellschaft ergehen?

Die Situation

Berlin und der Datenschutz sind aktuell nicht die besten Freunde und die Berliner Beauftragte für Datenschutz und Informationsfreiheit genießt auch nicht den besten Ruf.  Ob zu Recht oder nicht, da enthalte ich mich einmal der Meinung. Vieles im Datenschutz ist zudem aktuell umstritten. Trotzdem besteht die Möglichkeit, dass das Kammergericht in Berlin bald über eine sehr spannende Rechtsfrage zu entscheiden hat. Nämlich ob in Deutschland ein Bußgeld gegen ein Unternehmen lauten kann oder ob dies nur gegen eine natürliche Person der Fall sein kann.

Was ist passiert?

Die Strafkammer 26 des Landgerichts Berlin hat ein Bußgeldverfahren gegen die „Deutsche Wohnen SE“ in Höhe von 14,5 Millionen Euro eingestellt, weil der Bußgeldbescheid an gravierenden Mängeln leiden würde. Eine Weile nach der Pressemeldung von „Deutsche Wohnen“ und dem Landgericht Berlin:

„Die Strafkammer 26 des Landgerichts Berlin hat das Verfahren eingestellt, weil der Bußgeldbescheid unwirksam war. Gegen den Beschluss des Landgerichts Berlin kann die Berliner LfDI binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen.“

wurde spekuliert, was denn wohl passiert sein könnte und wobei die Behörde versagt haben könnte. Jetzt ist klar, es geht um eine knallharte Rechtsfrage, die seit der DSGVO extrem umstritten ist und die vielen kaum bewusst ist. So schreibt das Landgericht Berlin in seinem Beschluss

Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.

Der Bußgeldbescheid wurde gegen die Deutsche Wohne SE erlassen, mithin gegen eine europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die wurde von der BInBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde wohl bekräftigt, dass sich der Bescheid allein gegen die Deutsche Wohnen SE, vertreten durch ihre Geschäftsführung, richten würde.

Das Landgericht Berlin dazu

Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbstständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbstständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Das Landgericht Bonn hat in dem seiner sehr aktuellen Entscheidung (siehe dazu diesen Blogbeitrag) die Sache noch anders gesehen und damit argumentiert, dass für die DSGVO ein Anwendungsvorrang vor nationalen Vorschriften existiere, da es andernfalls zu unerwünschten Wettbewerbsverzerrungen in ·den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden.

Landgericht Berlin widerspricht dem Landgericht Bonn

Dieser Rechtsauffassung will sich das Landgericht Berlin ausdrücklich NICHT anschließen.

Nach Artikel 83 DSGVO in Verbindung mit Artikel 4 Nr. 7 und 8 DSGVO sind Geldbußen für Verstöße gegen die DSGVO gemäß Artikel 83 Absätze 4 bis 6 DSGVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DSGVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DSGVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.

Das Landgericht begründet daher umfangreich, dass eine juristische Person nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 DSGVO sein könne. Eine Ordnungswidrigkeit könne nur eine natürliche Person vorwerfbar begehen. Der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden, weshalb die juristische Person im Bußgeldverfahren nur Nebenbeteiligte sein könne.

Die Verhängung einer Geldbuße gegen eine juristische Person ist in § 30 OWiG geregelt, der nach Meinung des Landgerichts über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DSGVO Anwendung findet.

Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbstständigen Verfahren. Voraussetzung sei dann jedoch, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings müsse dann, da die juristische Person selbst
eine Ordnungswidrigkeit nicht begehen könne, auch in diesem sogenannten selbstständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Das Landgericht bringt dafür viele Argumente ins Feld, unter anderem die vermeintliche Auffassung des Gesetzgebers:

Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSGRefE noch die ausdrückliche Nichtanwendung der§ § 30,130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des§ 41 Absatz 1 Satz 2· BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.

Zudem zeigt die Argumentation, dass es sich bei der Kammer um eine große Strafkammer handelte:

Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist.

Was ist die Folge dieser Rechtsauffassung?

Die Frage ist somit sehr spannend und wird, nachdem die Behörde Beschwerde eingelegt hat, nun vom Kammergericht zu entscheiden sein.

Welche Auswirkungen hat diese Entscheidung jedoch für Datenschutzverantwortliche? Ich glaube nicht, dass, wie erste Stimmen meinen, nun alle Startup-Hipster-Unternehmnen feiern können. Denn neben weiteren steuerrechtlichen und arbeitsrechtlichen Aspekten der möglichen Verantwortung von Geschäftsführern und/oder Datenschutzbeauftragten könnte es zwei nicht ganz so berauschende Aspekte und einen vielleicht gar nicht so schlechten Aspekt geben, die in Zukunft zu beachten sind.

So kritisiert das Landgericht die Behörde unterschwellig wie folgt:

Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i. S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DSGVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können.

Zudem könnte es Probleme für die natürlichen Personen bzw. die Verantwortlichen geben. Denn wird ein persönlicher Vorwurf begründet, haftet die juristische Person für den festgestellten Fehler des Organ. Dies könnte, je nach arbeitsrechtlicher Konstellation,  zu einem Regressanspruch des Unternehmens führen und arbeitsrechtliche bzw. steuerrechtliche Probleme auslösen.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.