Kann ein Bußgeld wegen einer Datenschutzpanne gegen eine Kapitalgesellschaft ergehen?

Inhalte Verbergen

3. Landgericht Berlin widerspricht dem Landgericht Bonn

4. Was ist die Folge dieser Rechtsauffassung?

Die Situation

Berlin und der Datenschutz sind aktuell nicht die besten Freunde und die Berliner Beauftragte für Datenschutz und Informationsfreiheit genießt auch nicht den besten Ruf. Ob zu Recht oder nicht, da enthalte ich mich einmal der Meinung. Vieles im Datenschutz ist zudem aktuell umstritten. Trotzdem besteht die Möglichkeit, dass das Kammergericht in Berlin bald über eine sehr spannende Rechtsfrage zu entscheiden hat. Nämlich ob in Deutschland ein Bußgeld gegen ein Unternehmen lauten kann oder ob dies nur gegen eine natürliche Person der Fall sein kann.

Was ist passiert?

Die Strafkammer 26 des Landgerichts Berlin hat ein Bußgeldverfahren gegen die “Deutsche Wohnen SE” in Höhe von 14,5 Millionen Euro eingestellt, weil der Bußgeldbescheid an gravierenden Mängeln leiden würde. Eine Weile nach der Pressemeldung von “Deutsche Wohnen” und dem Landgericht Berlin:

„Die Strafkammer 26 des Landgerichts Berlin hat das Verfahren eingestellt, weil der Bußgeldbescheid unwirksam war. Gegen den Beschluss des Landgerichts Berlin kann die Berliner LfDI binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen.“

wurde spekuliert, was denn wohl passiert sein könnte und wobei die Behörde versagt haben könnte. Jetzt ist klar, es geht um eine knallharte Rechtsfrage, die seit der DSGVO extrem umstritten ist und die vielen kaum bewusst ist. So schreibt das Landgericht Berlin in seinem Beschluss

Der Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30. Oktober 2019 leidet unter derart gravierenden Mängeln, dass er nicht Grundlage des Verfahrens sein kann.

Der Bußgeldbescheid wurde gegen die Deutsche Wohne SE erlassen, mithin gegen eine europäische Gesellschaft, eine juristische Person des Privatrechts mit eigener Rechtspersönlichkeit i.S.v. § 1 Absatz 1 AktG in Verbindung mit §§ 1 ff. SEAG in Verbindung mit Artikel 1 Absatz 3 der Verordnung (EG) Nr. 2157/2001 des Rates vom 8. Oktober 2001 über das Statut der Europäischen Gesellschaft. Die wurde von der BInBDI als Betroffene im Sinne des Gesetzes über Ordnungswidrigkeiten behandelt. Ihr wurde im Bußgeldbescheid an zahlreichen Stellen die vorsätzliche Verwirklichung von Ordnungswidrigkeitstatbeständen vorgeworfen. In der Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2020 zur Einspruchsbegründung der Betroffenen hat die Behörde wohl bekräftigt, dass sich der Bescheid allein gegen die Deutsche Wohnen SE, vertreten durch ihre Geschäftsführung, richten würde.

Das Landgericht Berlin dazu

Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbstständigen Verfahren. Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbstständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Das Landgericht Bonn hat in dem seiner sehr aktuellen Entscheidung (siehe dazu diesen Blogbeitrag) die Sache noch anders gesehen und damit argumentiert, dass für die DSGVO ein Anwendungsvorrang vor nationalen Vorschriften existiere, da es andernfalls zu unerwünschten Wettbewerbsverzerrungen in ·den Mitgliedsstaaten der Europäischen Union im Hinblick auf die Durchsetzungen der europarechtlichen Datenschutzregeln kommen könne. Nationale Vorschriften wie § 41 Absatz 1 BDSG in Verbindung mit §§ 30, 130 OWiG, seien wegen des Grundsatzes der praktischen Wirksamkeit (effet utile) so auszulegen, dass ihre Anwendung nicht zu Vollzugsdefiziten führen könne – und wo dies nicht gelänge, seien sie gar nicht anzuwenden.

Landgericht Berlin widerspricht dem Landgericht Bonn

Dieser Rechtsauffassung will sich das Landgericht Berlin ausdrücklich NICHT anschließen.

Nach Artikel 83 DSGVO in Verbindung mit Artikel 4 Nr. 7 und 8 DSGVO sind Geldbußen für Verstöße gegen die DSGVO gemäß Artikel 83 Absätze 4 bis 6 DSGVO nicht nur gegen natürliche Personen, sondern auch gegen juristische Personen als „Verantwortlicher“ im Sinne des Artikel 4 Nr. 7 DSGVO oder „Auftragsverarbeiter“ im Sinne des Artikel 4 Nr. 8 DSGVO zu verhängen. Nähere Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen für von ihnen zurechenbaren natürlichen Personen begangene Verstöße gegen die Datenschutz-Grundverordnung enthält die Verordnung indes nicht.

Das Landgericht begründet daher umfangreich, dass eine juristische Person nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 DSGVO sein könne. Eine Ordnungswidrigkeit könne nur eine natürliche Person vorwerfbar begehen. Der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden, weshalb die juristische Person im Bußgeldverfahren nur Nebenbeteiligte sein könne.

Die Verhängung einer Geldbuße gegen eine juristische Person ist in § 30 OWiG geregelt, der nach Meinung des Landgerichts über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DSGVO Anwendung findet.

Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbstständigen Verfahren. Voraussetzung sei dann jedoch, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings müsse dann, da die juristische Person selbst
eine Ordnungswidrigkeit nicht begehen könne, auch in diesem sogenannten selbstständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden.

Das Landgericht bringt dafür viele Argumente ins Feld, unter anderem die vermeintliche Auffassung des Gesetzgebers:

Der historische Gesetzgeber des Bundesdatenschutzgesetzes ist denn auch augenscheinlich von der Anwendbarkeit der §§ 30, 130 OWiG im Falle eines Verstoßes gegen die DS-GVO ausgegangen. Denn während der erste Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) in § 39 Absatz 1 Satz 2 BDSGRefE noch die ausdrückliche Nichtanwendung der§ § 30,130 OWiG vorsah, ist dieser Normbefehl in der Gesetz gewordenen bedeutungs- und im Übrigen wortlautgleichen Vorschrift des § 41 Absatz 1 Satz 2 BDSG gestrichen worden und auch nicht durch die letzte Novelle des Bundesdatenschutzgesetzes, durch das zweite Gesetz zur Anpassung des Datenschutzrechts vom 20. November 2019, geändert worden. Dabei war sich der Gesetzgeber mindestens durch die Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 3. April 2019, mit dem für eine „klarstellende“ Ergänzung des§ 41 Absatz 1 Satz 2· BDSG und die Nichtanwendung der §§ 30, 130 OWiG geworben wird, der Folgen seiner Entscheidung bewusst.

Zudem zeigt die Argumentation, dass es sich bei der Kammer um eine große Strafkammer handelte:

Schließlich ist für die Kammer auch nicht erkennbar, dass sich aus dem unionsrechtlichen Effektivitätsgebot (Art. 197 AEUV) eine Pflicht zur Übernahme des unionsrechtlichen Modells der Verbandsverantwortlichkeit ergeben sollte. Denn dieses belässt den Mitgliedstaaten bei der Ausgestaltung des Sanktionsregimes einen Ermessensspielraum, der verfassungskonform, hier insbesondere unter Beachtung des Schuldgrundsatzes auszufüllen ist.

Was ist die Folge dieser Rechtsauffassung?

Die Frage ist somit sehr spannend und wird, nachdem die Behörde Beschwerde eingelegt hat, nun vom Kammergericht zu entscheiden sein.

Welche Auswirkungen hat diese Entscheidung jedoch für Datenschutzverantwortliche? Ich glaube nicht, dass, wie erste Stimmen meinen, nun alle Startup-Hipster-Unternehmnen feiern können. Denn neben weiteren steuerrechtlichen und arbeitsrechtlichen Aspekten der möglichen Verantwortung von Geschäftsführern und/oder Datenschutzbeauftragten könnte es zwei nicht ganz so berauschende Aspekte und einen vielleicht gar nicht so schlechten Aspekt geben, die in Zukunft zu beachten sind.

So kritisiert das Landgericht die Behörde unterschwellig wie folgt:

Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i. S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre. Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 – und damit vor Inkrafttreten der DSGVO – festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind. In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können.

Setzt sich also die Auffassung durch und kommt Deutsche Wohnen somit davon, ohne ein Bußgeld zu bezahlen, weil dann auch kein neuer Bescheid ergehen kann, werden Datenschutzbehörden gründlicher in die Unternehmen und in deren Entscheidungsabläufe schauen. Was für den Datenschutz vermeintlich gut klingt, dürfte für Unternehmen schlecht sein, denn mit Sicherheit liegen überall Leichen im Keller, die nun eventuell entdeckt werden.

Natürlich macht dies die Prüfungen aufwendiger und betreffen dann weniger Unternehmen. Wenn man aber betroffen ist, dürfte der Aufwand für die Kommunikation mit der Behörde ungleich höher und teurer werden.

Zudem könnte es Probleme für die natürlichen Personen bzw. die Verantwortlichen geben. Denn wird ein persönlicher Vorwurf begründet, haftet die juristische Person für den festgestellten Fehler des Organ. Dies könnte, je nach arbeitsrechtlicher Konstellation, zu einem Regressanspruch des Unternehmens führen und arbeitsrechtliche bzw. steuerrechtliche Probleme auslösen.

Zugehörige Beiträge:

Marian Härtel

Marian Härtel ist Rechtsanwalt und Unternehmer mit den Schwerpunkten Urheberrecht, Wettbewerbsrecht und IT/IP Recht und einen Fokus auf Games, Esport, Medien und Blockchain.

Telefon

03322 5078053

E-Mail

info@rahaertel.com

Cookie	Dauer	Beschreibung
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_gid	1 day	Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously.

Cookie	Dauer	Beschreibung
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Dauer	Beschreibung
_lcp	1 year 1 month 4 days	No description available.
_lcp2	1 year 1 month 4 days	No description available.
_lcp3	1 year 1 month 4 days	No description available.

Einfach anrufen!