DSGVO: Set­zen Unter­neh­mens­bus­sen den Nach­weis der Pflicht­ver­let­zung durch eine natür­li­che Per­son voraus?

Die DSGVO sieht bekannt­lich hohe Bus­sen­rah­men gegen Unter­neh­men vor, bis 4% des welt­wei­ten Vor­jah­res­um­sat­zes des Unter­neh­mens betra­gen. In ein­zel­nen Fäl­len kam es auch zu hohen Bus­sen, die in der Regel aber gericht­lich ange­grif­fen wor­den sind. Nicht klar ist in die­sem Fall aber, ob die Unter­neh­mens­bus­se vor­aus­setzt, dass ein schuld­haf­ter Ver­stoss gegen die DSGVO durch eine natür­li­che Lei­tungs­per­son nach­ge­wie­sen wird, der dem Unter­neh­men zuge­rech­net wird.

Die­se Dis­kus­si­on wird u.a. in Deutsch­land geführt und zeigt, in wel­chem Mass die ver­ein­heit­li­chen­de Wir­kung der DSGVO vom Rechts­ver­ständ­nis der Mit­glied­staa­ten abhän­gig ist. Sie zeigt gleich­zei­tig, dass Unter­neh­men ihre Rechts­ri­si­ken stark redu­zie­ren kön­nen, wenn sie ihr daten­be­ar­bei­ten­des Per­so­nal sorg­fäl­tig aus­wäh­len, instru­ie­ren, schu­len und überwachen.

Deutsch­land

In Deutsch­land ver­weist das Bun­des­da­ten­schutz­ge­setz (BDSG), § 41, auf das Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG), aller­dings nur “sinn­ge­mäss”. Nach § 30 OWiG setzt eine Bus­se gegen eine juri­sti­sche Per­son sodann den Nach­weis einer Pflicht­ver­let­zung einer Lei­tungs­per­son vor­aus. Nicht abschlie­ssend geklärt ist indes­sen, ob die­se Bestim­mung auf Daten­schutz­ver­let­zun­gen Anwen­dung fin­det, aber die Ten­denz geht jeden­falls in die­se Richtung.

Das Land­ge­richt (LG) Bonn hat im 1&1‑Verfahren eine Bus­se von EUR 9.55 Mio. auf EUR 900’000 redu­ziert. Grund­la­ge war vor allem das Buss­geld­kon­zept der deut­schen Auf­sichts­be­hör­den. Es hielt in sei­nem Urteil 29 OWi 1/20 vom 11.11.2020 aber auch fest, dass eine Bus­se nach der DSGVO ohne Nach­weis einer Pflicht­ver­let­zung einer bestimm­ten natür­li­chen Per­son ver­hängt wer­den kön­ne. Nicht § 30 OWiG sei anwend­bar, son­dern – auf­grund der DSGVO – die Grund­sät­ze des supra­na­tio­na­len Kar­tell­rechts, das bei Ver­let­zun­gen gegen Art. 101 und 102 AEUV von einer unmit­tel­ba­ren Ver­ant­wort­lich­keit der Unter­neh­men aus­ge­he [dazu z.B. EuGH, Rs. C‑68/12, Rz. 28], gleich­gül­tig, wel­che natür­li­che Per­son für das Unter­neh­men gehan­delt hat:

bb) Die Anknüp­fung der Geld­bu­ße an ein Fehl­ver­hal­ten von Orga­nen oder Lei­tungs­per­so­nen gem. § 30 OWiG lässt sich mit dem Haf­tungs­kon­zept nach EU-kar­tell­recht­li­chem Vor­bild und dem Funk­ti­ons­trä­ger­prin­zip nicht sinn­voll in Ein­klang brin­gen […]. Die Anwen­dung von § 30 OWiG wür­de gegen­über dem euro­päi­schen Haf­tungs­mo­dell zu einer erheb­li­chen Ein­schrän­kung der Buß­geld­ver­hän­gung gegen Unter­neh­men füh­ren, wenn trotz Fest­ste­hens eines Daten­schutz­ver­sto­ßes die inter­nen Ver­ant­wort­lich­kei­ten auf­zu­klä­ren wären. […]

Dem­ge­gen­über hat das LG Ber­lin im Beschluss 526 OWi LG vom 18. Febru­ar 2021 ent­schie­den, § 30 OWiG sei anwend­bar, wes­halb ein schuld­haf­ten Fehl­ver­hal­tens einer Lei­tungs­per­son nach­zu­wei­sen sei. Die DSGVO ent­hal­te kei­ne nähe­ren Bestim­mun­gen zur straf­recht­li­chen Ver­ant­wort­lich­keit juri­sti­scher Per­so­nen. Die Ver­wei­sung auf das OWiG im BDSG habe daher Bestand. Die Zurech­nung des Ver­sto­sses durch eine natür­li­che Per­son sei auch erfor­der­lich, weil die juri­sti­sche Per­son durch ihre Orga­ne und Ver­tre­ter handle:

Inso­weit ist die Fest­stel­lung eines vor­werf­ba­ren Ver­hal­tens einer natür­li­chen Per­son die not­wen­di­ge Grund­vor­aus­set­zung für die Begrün­dung einer Ver­ant­wort­lich­keit des mög­li­cher­wei­se pflich­ti­gen Rechtsträgers.

Das deut­sche Bun­des­mi­ni­ste­ri­um des Innern, für Bau und Hei­mat (BMI) hat sei­ner­seits das neue BDSG eva­lu­iert und im Eva­lua­ti­ons­be­richt vom Okto­ber 2021 fest­ge­hal­ten, auf das OWiG sei bewusst ver­wie­sen wor­den, und die DSGVO las­se dafür Raum:

Dazu ist zunächst dar­auf hin­zu­wei­sen, dass sich der Gesetz­ge­ber sei­ner­zeit bewusst – und in Kennt­nis der Rechts­auf­fas­sung der Datenschutzaufsichtsbehörden55 zu die­ser The­ma­tik – dafür ent­schie­den hat, die §§ 30, 130 OWiG nicht aus den nach § 41 Absatz 1 Satz 1 BDSG anwend­ba­ren Vor­schrif­ten des OWiG auszunehmen.

Die­se Ent­schei­dung basiert dabei auf der Erwä­gung, dass Arti­kel 83 Absatz 8 DSGVO es gera­de den Mit­glied­staa­ten über­lässt, die Ein­zel­hei­ten des Buß­geld­ver­fah­rens zu regeln. Etwas ande­res ergibt sich im Übri­gen auch nicht aus Erwä­gungs­grund 150 zur DSGVO; die­ser ist ins­ge­samt und in sei­nem syste­ma­ti­schen Kon­text zu lesen. Er bezieht sich auf Arti­kel 83 DSGVO und kon­kret auf die dor­ti­gen Rege­lun­gen der Buß­geld­hö­he, ent­hält aber kei­ne Vor­ga­ben zu den Vor­aus­set­zun­gen, unter denen Ver­stö­ße von natür­li­chen Per­so­nen eine buß­geld­recht­li­che Ver­ant­wort­lich­keit von juri­sti­scher Per­son und Per­so­nen­ver­ei­ni­gung auslösen.

Öster­reich

In Öster­reich hat der Ver­wal­tungs­ge­richts­hof (VwGH) am 12. Mai 2020 (Ro 2019÷04÷0229) eben­falls ent­schie­den, dass eine Bus­se nach Art. 83 DSGVO gegen eine juri­sti­sche Per­son den Nach­weis des schuld­haf­ten Ver­hal­tens einer Lei­tungs­per­son vor­aus­set­ze. Es ging dabei von der Rechts­la­ge nach dem öster­rei­chi­schen Bank­we­sen­ge­setz (BWG) aus:

29 Da die juri­sti­sche Per­son nicht selbst han­deln kann, ist ihre Straf­bar­keit gemäß § 99d BWG eine Fol­ge des tat­be­stands­mä­ßi­gen, rechts­wid­ri­gen und schuld­haf­ten Ver­hal­tens einer Füh­rungs­per­son. Dem­ge­mäß ist für die Wirk­sam­keit der gegen die juri­sti­sche Per­son gerich­te­ten Ver­fol­gungs­hand­lung die genaue Umschrei­bung der Tat­hand­lung der natür­li­chen Per­son vonnöten. […]

Die­se Grund­sät­ze sei­en auf den Bereich der DSGVO über­trag­bar. Anwend­bar sei das Ver­wal­tungs­straf­ge­setz (VStG):

18 Viel­mehr fin­det auf die Ver­hän­gung von Geld­bu­ßen gemäß Art. 83 DSGVO das VStG inso­fern Anwen­dung, als die DSGVO im Rah­men des Anwen­dungs­vor­ran­ges nicht spe­zi­el­le­re Rege­lun­gen vorsieht. […] […] 

20 Die revi­si­ons­wer­ben­de Behör­de wen­det gegen das […] Erfor­der­nis der nament­li­chen Benen­nung der natür­li­chen Per­son, deren rechts­wid­ri­ges und schuld­haf­tes Ver­hal­ten der juri­sti­schen Per­son zuzu­rech­nen ist, ein, Art. 83 DSGVO sei inhalt­lich den wett­be­werbs­recht­li­chen Vor­schrif­ten der Euro­päi­schen Uni­on nach­ge­bil­det […]. […] […]

23 Im Gegen­satz zur Ver­hän­gung von Geld­bu­ßen wegen Ver­stö­ßen gegen uni­ons­recht­li­che Wett­be­werbs­re­geln han­delt es sich bei den von der Auf­sichts­be­hör­de eines Mit­glied­staa­tes für Ver­stö­ße gegen die DSGVO gemäß Art. 83 Abs. 4 bis 6 DSGVO zu ver­hän­gen­den Geld­bu­ßen um straf­recht­li­che Sank­tio­nen (vgl. Erwä­gungs­grund 150 der DSGVO). Über­dies muss gemäß Art. 83 Abs. 8 DSGVO anders als hin­sicht­lich der Befug­nis der Euro­päi­schen Kom­mis­si­on zur Ver­hän­gung von Geld­bu­ßen für Ver­stö­ße gegen das Wett­be­werbs­recht der Euro­päi­schen Uni­on die Aus­übung der Sank­ti­ons­be­fug­nis der Auf­sichts­be­hör­de des ein­zel­nen Mit­glied­staa­tes nicht nur ange­mes­se­nen Ver­fah­rens­ga­ran­tien des Uni­ons­rechts (etwa der GRC), son­dern auch sol­chen des Rechts der Mit­glied­staa­ten unter­lie­gen. Inso­fern ist die Ver­hän­gung von Geld­bu­ßen durch die Euro­päi­sche Kom­mis­si­on wegen Ver­stö­ßen gegen das Wett­be­werbs­recht […] nicht vergleichbar […].

24 Davon aus­ge­hend ist die in der Revi­si­on dar­ge­leg­te Recht­spre­chung des EuGH betref­fend die man­geln­de Pflicht zur Benen­nung der Per­so­nen, die inner­halb eines wegen eines Ver­sto­ßes gegen das Wett­be­werbs­recht der Uni­on mit einer Geld­bu­ße beleg­ten Unter­neh­mens schuld­haft gehan­delt haben, nicht für Ver­fah­ren betref­fend die Ver­hän­gung von Geld­bu­ßen gemäß Art. 83 DSGVO durch die Auf­sichts­be­hör­de eines Mit­glied­staa­tes beacht­lich. […]

25 Nach § 44a Z 1 VStG ist es recht­lich gebo­ten, die Tat hin­sicht­lich des Täters und der Tat­um­stän­de so genau zu umschrei­ben, dass die Zuord­nung des Tat­ver­hal­tens zur Ver­wal­tungs­vor­schrift, die durch die Tat ver­letzt wor­den ist, in Anse­hung aller Tat­be­stands­merk­ma­le ermög­licht wird […].

26 Vor­lie­gend hat die revi­si­ons­wer­ben­de Behör­de in der der mit­be­tei­lig­ten Par­tei zu Han­den deren han­dels­recht­li­chen Geschäfts­füh­rers zuge­stell­ten Auf­for­de­rung zur Recht­fer­ti­gung die natür­li­chen Per­so­nen, deren als tat­be­stands­mä­ßig, rechts­wid­rig und schuld­haft erach­te­tes Ver­hal­ten der mit­be­tei­lig­ten Par­tei zuzu­rech­nen sei, nicht nament­lich benannt, son­dern ledig­lich als “Orga­ne oder Mit­ar­bei­ter” der mit­be­tei­lig­ten Par­tei umschrie­ben. Im Spruch des Straf­er­kennt­nis­ses der revi­si­ons­wer­ben­den Behör­de wird der mit­be­tei­lig­ten Par­tei kein ihr zure­chen­ba­res, tat­be­stands­mä­ßi­ges, rechts­wid­ri­ges und schuld­haf­tes Ver­hal­ten einer natür­li­chen Per­son dar­ge­tan. Selbst in der Begrün­dung leg­te die revi­si­ons­wer­ben­de Behör­de nicht offen, wel­che natür­li­che Per­son kon­kret das der mit­be­tei­lig­ten Par­tei zuzu­rech­nen­de tat­be­stands­mä­ßi­ge, rechts­wid­ri­ge und schuld­haf­te Ver­hal­ten betref­fend die ein­zel­nen Tat­vor­wür­fe gesetzt hat. […]