Rechtsgrundlage für Datenschutz-Bußgelder

Die Frage, ob Führungskräfte in Unternehmen schuldhaft handeln müssen oder ob ein objektiver Pflichtverstoß für die Verhängung eines Bußgeldes nach der DSGVO gegen das Unternehmen ausreicht, ist im Datenschutzrecht sehr umstritten. Das Kammergericht Berlin (Az. 3 Ws 250/21) hat dem EuGH hierzu Fragen zur Vorabentscheidung vorgelegt.

Rechtsträger- oder Funktionsträgerprinzip?

Stein des Anstoßes ist die Frage, ob §30 Ordnungswidrigkeitengesetz (OWiG) und damit das deutsche Haftungskonzept für Unternehmen (Rechtsträgerprinzip) anwendbar ist. Dem Unternehmen kann ein Bußgeld nur dann auferlegt werden, wenn eine Führungskraft eine (vorsätzliche oder fahrlässige) Tat begangen hat, die dem Unternehmen zurechenbar ist. Das LG Berlin vertritt diese Auffassung und hat ein Bußgeldverfahren gegen die Deutsche Wohnen SE eingestellt. Für die Verhängung eines Bußgeldes müsse ein der juristischen Person zurechenbarer Pflichtverstoß vorliegen, der durch die Datenschutz-Aufsichtsbehörde nachgewiesen werden muss. Eben dieser Nachweis sei nicht gelungen, der Bußgeld-Bescheid enthalte keine entsprechenden Angaben.

Das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) hält §30 OWiG für nicht anwendbar (Funktionsträgerprinzip). Das hätte zur Folge, dass das sog. supranationale Kartellsanktionsrecht greift. Dann reicht ein objektiver (Datenschutz-)Verstoß eines Unternehmens aus, um es mit einem Bußgeld zu belegen. Eine Anweisung zu oder auch nur Kenntnis der Leitungsorgane des Unternehmens von Datenschutzverstößen sind dann nicht erforderlich. Das datenschutzrechtliche Bußgeld finde seine Rechtsgrundlage vielmehr unmittelbar in Art. 83 DSGVO, so das LG Bonn. Dafür sprechen der Anwendungsvorrang der DSGVO im Allgemeinen sowie der Wirksamkeitsgrundsatz des Europarechts, der ausgehöhlt würde, wenn nationale Haftungsregeln die Sanktionsmöglichkeiten europarechtlicher Vorschriften einschränken würden. Dann wäre nicht mehr europaweit sichergestellt, dass dieselben Bußgeldregelungen gelten, was dem Verordnungscharakter der DSGVO zuwiderliefe.

Der EuGH hat die Chance zur Klarstellung

Somit bestehen Zweifel über die Auslegung des Art. 83 DSGVO und die Zuständigkeit des EuGH ist im Vorabentscheidungsverfahren (Art. 267 AUEV) eröffnet. Das KG erwartet vom EuGH eine Klarstellung, ob die (strengeren) Vorgaben des deutschen Ordnungswidrigkeitenrechts gelten oder ob ein objektiver Pflichtverstoß eines Unternehmens ausreicht, um ein Bußgeld zu verhängen. Das KG selbst scheint übrigens von einer direkten Unternehmenshaftung ohne Anwendung des §30 OWiG auszugehen.