Herzlich willkommen!
Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…
Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!
Ihr PWWL-Redaktionsteam
Als die DS-GVO 2016 beschlossen und 2018 dann geltendes Recht wurde, haben nicht wenige die erheblichen Bußgeldandrohungen als ein wesentliches Mittel zur Durchsetzung der Regelungen in der DS-GVO angesehen.
Art. 83 DS-GVO sieht Bußgelder von bis zu 20.000.000,00 EUR und im Falle von Unternehmen bis zu 4% des weltweiten Umsatzes vor. Tatsächlich sind auch nach Inkrafttreten der DS-GVO teils erhebliche Bußgelder verhängt worden.
Was aus Art. 83 DS-GVO und auch aus den Erwägungsgründen 148 ff nicht klar hervorgeht, ist der Adressat der Bußgelder. Da die Bußgelder das Ziel haben, die Einhaltung der Vorschriften der DS-GVO sicherzustellen, ist es klar, dass sich die Bußgelder immer gegen den Verantwortlichen richten.
Der Verantwortliche (vgl. Art. 4 Nr. 7 DS-GVO) kann sowohl eine juristische Person – z.B. eine GmbH, AG, KG oder SE – sein als auch ein Mensch oder wie wir Juristen es ausdrücken: eine natürliche Person.
In den weitaus überwiegenden Fällen ist der Verantwortliche eine juristische Person. Nach deutschem Recht ist die Verhängung von Geldbußen gegen juristische Personen aber nicht ohne Weiteres möglich.
Auf die Verhängung von Geldbußen wegen Verstößen gegen die Art. 83 Abs. 4 – 6 DS-GVO findet nach § 41 BDSG das Gesetz über Ordnungswidrigkeiten (OWiG) Anwendung. Nach § 30 Abs. 1 OWiG kann in einem einheitlichen Verfahren eine Geldbuße gegen eine juristische Person festgesetzt werden, wenn gegen das Organmitglied oder einen Repräsentanten zugleich ein Bußgeldverfahren durchgeführt wird. § 30 Abs. 4 OWiG sieht ein selbständiges Verfahren gegen die juristische Person vor, allerdings nur dann, wenn gegen das Organmitglied oder den Repräsentanten ein Verfahren gar nicht eingeleitet oder ein eingeleitetes Verfahren eingestellt wird. Da juristische Personen selbst keine Ordnungswidrigkeit begehen können, muss auch im Rahmen von § 30 Abs. 4 OWiG immer eine vorwerfbare Ordnungswidrigkeit eines Organmitglieds festgestellt werden.
Es ist offenkundig, dass die zwingende Feststellung einer vorwerfbaren Ordnungswidrigkeit eines Organmitglieds die Verhängung von Geldbußen durch die Aufsichtsbehörden erheblich erschwert.
So verhielt es sich auch in dem Verfahren, das in Kürze beim EuGH zur Entscheidung ansteht.
Die Berliner Beauftragte für Datenschutz und Informationssicherheit verhängte am 30. Oktober 2020 ein Bußgeld gegen eine Aktiengesellschaft, also eine juristische Person, wegen diverser Datenschutzverstöße.
Die AG ging gegen das Bußgeld vor und legte Einspruch ein. Aufgrund der Höhe des verhängten Bußgeldes (> 100.000,00 EUR) war für den Einspruch gegen den Bußgeldbescheid das Landgericht zuständig (vgl. § 41 Abs. 1 S. 3 BDSG). Das Landgericht Berlin hat das Bußgeldverfahren mit Beschluss vom 18. Februar 2021 eingestellt (Az.: (526 OWi LG) 212 Js-OWi 1/20 (1/20)). Das Landgericht vertrat die Auffassung, dass der Bußgeldbescheid an gravierenden Mängeln leide, da eine juristische Person nicht Betroffene eines Bußgeldverfahrens sein könne. Die Staatsanwaltschaft Berlin legte hiergegen Einspruch ein. Das zuständige Kammergericht Berlin sah sich an einer Entscheidung in der Sache gehindert und legte dem EuGH mit Beschluss vom 6. Dezember 2021 (Az.: 3 Ws 250/21) folgende Fragen zur Vorabentscheidung vor:
1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?
2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatzbereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?
Am 27. April 2023 hat der Generalanwalt Manuel Campos Sánchez-Bordona nun seine Schlussanträge vorgelegt.
Er plädiert in Rz. 86 seiner Schlussanträge dafür, die Fragen des Kammergerichts wie folgt zu beantworten:
„Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung ist dahin auszulegen, dass die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.
Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.“
Was würde eine die Schlussanträge bestätigende Entscheidung des EuGH für die Praxis bedeuten?
Zunächst würde es bedeuten, dass Geldbußen gegen Unternehmen wegen Verstößen gegen die DS-GVO festgesetzt werden können, ohne dass konkret festgestellt werden muss, dass ein gesetzliches Organ oder ein Repräsentant einen vorwerfbaren Verstoß begangen hat.
Allerdings setzt ein Bußgeld immer noch voraus, dass ein vorsätzlicher oder fahrlässiger Verstoß gegen die DS-GVO vorliegt. Die Ausführungen des Generalanwalts scheinen aber den Begriff des Verschuldens stark auszuweiten. So führt er in Rz. 76 aus, dass ein fahrlässiges Verhalten bereits dann vorliegen kann, wenn der Handelnde wissen musste, welches Handeln von ihm verlangt wird.
Im Ergebnis droht daher eine Klarstellung des EuGH zulasten der Verantwortlichen. Die Verhängung von Bußgeldern nach Art. 83 Abs. 4 – 6 DS-GVO würde dadurch für die Aufsichtsbehörden leichter werden. Spiegelbildlich dazu steigen die Risiken für die Verantwortlichen. Datenschutz Compliance gewinnt also noch mehr an Bedeutung.
