Suche
  • Evolution

DSGVO-Bußgelder ohne Verschulden?



Das KG Berlin hat dem EuGH eine Grundsatzfrage zur Bußgeldhaftung von Unternehmen vorgelegt (Beschluss vom 6.12.2021 – 3 Ws 250/21): „Ist Art. 83 Abs. 4-6 DS-GVO dahin auszulegen, dass […] ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?


Hintergrund: Bußgeldhaftung von Unternehmen nach deutschem Ordnungswidrigkeitenrecht nur bei schuldhaftem Fehlverhalten einer Leitungsperson


Auf die Verhängung von Bußgeldern wegen Datenschutzverstößen findet das deutsche Ordnungswidrigkeitengesetz (OWiG) Anwendung (§ 41 Abs. 1 BDSG). Ein Bußgeld kann danach gegen ein Unternehmen nur bei Vorliegen einer rechtswidrigen und vorwerfbaren Ordnungswidrigkeit, begangen durch eine natürliche Person (sog. Anknüpfungstat), verhängt werden. Eine solche Anknüpfungstat kann auch in einem Unterlassen, einer Beihilfe oder einer Aufsichtspflichtverletzung einer Leitungsperson liegen. Die Behörde muss die festgestellten vorwerfbaren Handlungen in ihrem Bußgeldbescheid beschreiben. Das bloße Feststellen eines Datenschutzverstoßes im Unternehmen, also eines rechtswidrigen Erfolges, genügt grundsätzlich nicht. Dieser in §§ 30, 130 Abs. 1 OWiG verankerte Grundsatz wird als Rechtsträgerprinzip bezeichnet.


Die Vorlagefrage: Abkehr vom Rechtsträgerprinzip für Datenschutzverstöße aufgrund der EU-Rechtswidrigkeit des § 41 BDSG?


Mit der Vorlagefrage zum EuGH will das KG Berlin wissen, ob die Bußgeldvoraussetzungen nach deutschen OWiG europarechtskonform sind oder die DSGVO eine unmittelbare Bebußung der Unternehmen verlangt, ohne dass es einer Anknüpfungstat bedürfe. Hiervon gehen die Mehrheit der deutschen Datenschutzbehörden (vgl. Entschließung der DSK vom 03.09.2019), Teile der wissenschaftlichen Literatur und das LG Bonn (Urteil vom 11.11.2020 – 29 OWi 1/20) aus. Sie argumentieren, dass durch die Anwendung des Rechtsträgerprinzips Art. 83 DSGVO unzulässig eingeschränkt und die Durchsetzung der DSGVO unionsrechtswidrig erschwert werde. § 41 Abs. 1 BDSG i.V.m. §§ 30, 130 Abs. 1 OWiG seien daher nicht anwendbar. Damit genüge zur Verhängung eines Bußgeldes, dass die Behörde einen Datenschutzverstoß feststellt. Insofern seien Ermittlungen, Feststellungen und Nachweise dazu, welche natürliche Person im Unternehmen durch welche Handlung oder Unterlassung den Datenschutzverstoß verursacht hat, entbehrlich.


Auswirkungen für Unternehmen

Die möglichen Auswirkungen sind nicht zu unterschätzen, könnten sogar dramatisch sien: Sollte der EuGH die Voraussetzungen für Bußgelder derart absenken, müssten Behörden lediglich das Vorliegen einer Datenschutzverletzung darlegen. Unternehmen könnten sich kaum darauf berufen, dass sie über ordnungsgemäße Compliance-Systeme verfügen und ihre Leitungspersonen insoweit kein Verschulden trifft. Damit würden die Bußgeldrisiken massiv steigen – dies zu einer Zeit, in der die Behörden unverkennbar die Tendenz erkennen lassen, Datenschutzverstöße immer konsequenter zu verfolgen und immer höhere Bußgelder zu verhängen (eine Übersicht über verhängte Bußgelder finden Sie hier).

Unternehmen kann nur empfohlen werden, den Weg zur möglichst umfassenden Datenschutzkonformität weiter zu gehen – es deutet sich an, dass die vollständige Vermeidung eines Verstoßes zukünftig die einzige Möglichkeit ist, datenschutzrechtlichen Bußgelder zu entgehen.

41 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen