Die DSGVO sieht bekanntlich hohe Bussenrahmen gegen Unternehmen vor, bis 4% des weltweiten Vorjahresumsatzes des Unternehmens betragen. In einzelnen Fällen kam es auch zu hohen Bussen, die in der Regel aber gerichtlich angegriffen worden sind. Nicht klar ist in diesem Fall aber, ob die Unternehmensbusse voraussetzt, dass ein schuldhafter Verstoss gegen die DSGVO durch eine natürliche Leitungsperson nachgewiesen wird, der dem Unternehmen zugerechnet wird.
Diese Diskussion wird u.a. in Deutschland geführt und zeigt, in welchem Mass die vereinheitlichende Wirkung der DSGVO vom Rechtsverständnis der Mitgliedstaaten abhängig ist. Sie zeigt gleichzeitig, dass Unternehmen ihre Rechtsrisiken stark reduzieren können, wenn sie ihr datenbearbeitendes Personal sorgfältig auswählen, instruieren, schulen und überwachen.
Deutschland
In Deutschland verweist das Bundesdatenschutzgesetz (BDSG), § 41, auf das Gesetz über Ordnungswidrigkeiten (OWiG), allerdings nur “sinngemäss”. Nach § 30 OWiG setzt eine Busse gegen eine juristische Person sodann den Nachweis einer Pflichtverletzung einer Leitungsperson voraus. Nicht abschliessend geklärt ist indessen, ob diese Bestimmung auf Datenschutzverletzungen Anwendung findet, aber die Tendenz geht jedenfalls in diese Richtung.
Das Landgericht (LG) Bonn hat im 1&1‑Verfahren eine Busse von EUR 9.55 Mio. auf EUR 900’000 reduziert. Grundlage war vor allem das Bussgeldkonzept der deutschen Aufsichtsbehörden. Es hielt in seinem Urteil 29 OWi 1/20 vom 11.11.2020 aber auch fest, dass eine Busse nach der DSGVO ohne Nachweis einer Pflichtverletzung einer bestimmten natürlichen Person verhängt werden könne. Nicht § 30 OWiG sei anwendbar, sondern – aufgrund der DSGVO – die Grundsätze des supranationalen Kartellrechts, das bei Verletzungen gegen Art. 101 und 102 AEUV von einer unmittelbaren Verantwortlichkeit der Unternehmen ausgehe [dazu z.B. EuGH, Rs. C‑68/12, Rz. 28], gleichgültig, welche natürliche Person für das Unternehmen gehandelt hat:
bb) Die Anknüpfung der Geldbuße an ein Fehlverhalten von Organen oder Leitungspersonen gem. § 30 OWiG lässt sich mit dem Haftungskonzept nach EU-kartellrechtlichem Vorbild und dem Funktionsträgerprinzip nicht sinnvoll in Einklang bringen […]. Die Anwendung von § 30 OWiG würde gegenüber dem europäischen Haftungsmodell zu einer erheblichen Einschränkung der Bußgeldverhängung gegen Unternehmen führen, wenn trotz Feststehens eines Datenschutzverstoßes die internen Verantwortlichkeiten aufzuklären wären. […]
Demgegenüber hat das LG Berlin im Beschluss 526 OWi LG vom 18. Februar 2021 entschieden, § 30 OWiG sei anwendbar, weshalb ein schuldhaften Fehlverhaltens einer Leitungsperson nachzuweisen sei. Die DSGVO enthalte keine näheren Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen. Die Verweisung auf das OWiG im BDSG habe daher Bestand. Die Zurechnung des Verstosses durch eine natürliche Person sei auch erforderlich, weil die juristische Person durch ihre Organe und Vertreter handle:
Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.
Das deutsche Bundesministerium des Innern, für Bau und Heimat (BMI) hat seinerseits das neue BDSG evaluiert und im Evaluationsbericht vom Oktober 2021 festgehalten, auf das OWiG sei bewusst verwiesen worden, und die DSGVO lasse dafür Raum:
Dazu ist zunächst darauf hinzuweisen, dass sich der Gesetzgeber seinerzeit bewusst – und in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden55 zu dieser Thematik – dafür entschieden hat, die §§ 30, 130 OWiG nicht aus den nach § 41 Absatz 1 Satz 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen.
Diese Entscheidung basiert dabei auf der Erwägung, dass Artikel 83 Absatz 8 DSGVO es gerade den Mitgliedstaaten überlässt, die Einzelheiten des Bußgeldverfahrens zu regeln. Etwas anderes ergibt sich im Übrigen auch nicht aus Erwägungsgrund 150 zur DSGVO; dieser ist insgesamt und in seinem systematischen Kontext zu lesen. Er bezieht sich auf Artikel 83 DSGVO und konkret auf die dortigen Regelungen der Bußgeldhöhe, enthält aber keine Vorgaben zu den Voraussetzungen, unter denen Verstöße von natürlichen Personen eine bußgeldrechtliche Verantwortlichkeit von juristischer Person und Personenvereinigung auslösen.
Österreich
In Österreich hat der Verwaltungsgerichtshof (VwGH) am 12. Mai 2020 (Ro 2019÷04÷0229) ebenfalls entschieden, dass eine Busse nach Art. 83 DSGVO gegen eine juristische Person den Nachweis des schuldhaften Verhaltens einer Leitungsperson voraussetze. Es ging dabei von der Rechtslage nach dem österreichischen Bankwesengesetz (BWG) aus:
29 Da die juristische Person nicht selbst handeln kann, ist ihre Strafbarkeit gemäß § 99d BWG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer Führungsperson. Demgemäß ist für die Wirksamkeit der gegen die juristische Person gerichteten Verfolgungshandlung die genaue Umschreibung der Tathandlung der natürlichen Person vonnöten. […]
Diese Grundsätze seien auf den Bereich der DSGVO übertragbar. Anwendbar sei das Verwaltungsstrafgesetz (VStG):
18 Vielmehr findet auf die Verhängung von Geldbußen gemäß Art. 83 DSGVO das VStG insofern Anwendung, als die DSGVO im Rahmen des Anwendungsvorranges nicht speziellere Regelungen vorsieht. […] […]
20 Die revisionswerbende Behörde wendet gegen das […] Erfordernis der namentlichen Benennung der natürlichen Person, deren rechtswidriges und schuldhaftes Verhalten der juristischen Person zuzurechnen ist, ein, Art. 83 DSGVO sei inhaltlich den wettbewerbsrechtlichen Vorschriften der Europäischen Union nachgebildet […]. […] […]
23 Im Gegensatz zur Verhängung von Geldbußen wegen Verstößen gegen unionsrechtliche Wettbewerbsregeln handelt es sich bei den von der Aufsichtsbehörde eines Mitgliedstaates für Verstöße gegen die DSGVO gemäß Art. 83 Abs. 4 bis 6 DSGVO zu verhängenden Geldbußen um strafrechtliche Sanktionen (vgl. Erwägungsgrund 150 der DSGVO). Überdies muss gemäß Art. 83 Abs. 8 DSGVO anders als hinsichtlich der Befugnis der Europäischen Kommission zur Verhängung von Geldbußen für Verstöße gegen das Wettbewerbsrecht der Europäischen Union die Ausübung der Sanktionsbefugnis der Aufsichtsbehörde des einzelnen Mitgliedstaates nicht nur angemessenen Verfahrensgarantien des Unionsrechts (etwa der GRC), sondern auch solchen des Rechts der Mitgliedstaaten unterliegen. Insofern ist die Verhängung von Geldbußen durch die Europäische Kommission wegen Verstößen gegen das Wettbewerbsrecht […] nicht vergleichbar […].
24 Davon ausgehend ist die in der Revision dargelegte Rechtsprechung des EuGH betreffend die mangelnde Pflicht zur Benennung der Personen, die innerhalb eines wegen eines Verstoßes gegen das Wettbewerbsrecht der Union mit einer Geldbuße belegten Unternehmens schuldhaft gehandelt haben, nicht für Verfahren betreffend die Verhängung von Geldbußen gemäß Art. 83 DSGVO durch die Aufsichtsbehörde eines Mitgliedstaates beachtlich. […]
25 Nach § 44a Z 1 VStG ist es rechtlich geboten, die Tat hinsichtlich des Täters und der Tatumstände so genau zu umschreiben, dass die Zuordnung des Tatverhaltens zur Verwaltungsvorschrift, die durch die Tat verletzt worden ist, in Ansehung aller Tatbestandsmerkmale ermöglicht wird […].
26 Vorliegend hat die revisionswerbende Behörde in der der mitbeteiligten Partei zu Handen deren handelsrechtlichen Geschäftsführers zugestellten Aufforderung zur Rechtfertigung die natürlichen Personen, deren als tatbestandsmäßig, rechtswidrig und schuldhaft erachtetes Verhalten der mitbeteiligten Partei zuzurechnen sei, nicht namentlich benannt, sondern lediglich als “Organe oder Mitarbeiter” der mitbeteiligten Partei umschrieben. Im Spruch des Straferkenntnisses der revisionswerbenden Behörde wird der mitbeteiligten Partei kein ihr zurechenbares, tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer natürlichen Person dargetan. Selbst in der Begründung legte die revisionswerbende Behörde nicht offen, welche natürliche Person konkret das der mitbeteiligten Partei zuzurechnende tatbestandsmäßige, rechtswidrige und schuldhafte Verhalten betreffend die einzelnen Tatvorwürfe gesetzt hat. […]