Das Kammergericht (3 Ws 250/21 – 161 AR 84/21) hat im Anschluss an die Rechtsprechung des EuGH entschieden, dass Bußgelder nach Art. 83 DSGVO unmittelbar gegen juristische Personen verhängt werden können, wenn diese als für die Datenverarbeitung Verantwortliche anzusehen sind.
Danach setzt die Verbandsverantwortlichkeit weder ein Verschulden eines Vertreters (§ 30 OWiG) noch eine Aufsichtspflichtverletzung (§ 130 OWiG) voraus. Vielmehr sind Unternehmen im Deliktsbereich der DSGVO per se haftbar. Der Bußgeldbescheid muss allerdings nicht die natürliche Person benennen, der die Pflichtverletzung ggf. zur Last gelegt wird.
Haftung eines Unternehmens für DSGVO-Bußgeld
In dem richtungsweisenden Beschluss hat das Kammergericht (KG) Berlin (Az. 3 Ws 250/21) über die Haftung von Unternehmen für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) entschieden. Die zentrale Frage war, ob Bußgelder direkt gegen juristische Personen verhängt werden können, ohne dass eine konkrete natürliche Person benannt wird. Diese Entscheidung betont die Eigenständigkeit der Unternehmenshaftung im Datenschutzrecht und die Anwendung des Zweifelsgrundsatzes in diesem Kontext.
Zum Sachverhalt: Die Berliner Datenschutzbehörde hatte gegen die Deutsche Wohnen SE ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt. Der Grund war die unzureichende Löschung personenbezogener Daten von Mietern, die zu lange gespeichert wurden. Die Deutsche Wohnen SE legte Einspruch ein und argumentierte, dass der Bußgeldbescheid formale Mängel aufweise, insbesondere weil keine konkrete natürliche Person benannt wurde, die für den Verstoß verantwortlich ist.
Rechtliche Analyse
Unmittelbare Haftung juristischer Personen
Der BGH bestätigte, dass juristische Personen direkt für Verstöße gegen die DSGVO haftbar gemacht werden können. Diese Entscheidung orientiert sich an einem Urteil des Europäischen Gerichtshofs (EuGH), das klarstellt, dass die DSGVO-Bußgelder unmittelbar gegen juristische Personen verhängt werden können, wenn diese für die Datenverarbeitung verantwortlich sind. Es bedarf weder eines Verschuldens eines Repräsentanten noch einer Aufsichtspflichtverletzung.
- Eigenständige Schuldfähigkeit: Unternehmen sind im Bereich der DSGVO von sich aus schuldfähig. Das bedeutet, dass für die Verhängung eines Bußgeldes nicht nachgewiesen werden muss, dass eine konkrete natürliche Person innerhalb des Unternehmens eine Pflichtverletzung begangen hat. Dies hebt die traditionelle Vorstellung auf, dass Unternehmen nur über die Zurechnung von Fehlverhalten einzelner Mitarbeiter haftbar gemacht werden können.
- Verfahrensrechtliche Anforderungen: Der Bußgeldbescheid muss die Tat, die dem Unternehmen zur Last gelegt wird, ausreichend konkretisieren. Die Angaben müssen so detailliert sein, dass das Unternehmen erkennen kann, welcher Vorwurf erhoben wird, und sich dagegen verteidigen kann. In diesem Fall war der Bußgeldbescheid der Berliner Datenschutzbehörde ausreichend konkret und ermöglichte der Deutsche Wohnen SE eine effektive Verteidigung.
Kontextualisierung und Darstellungspflicht
Das KG Berlin betonte, dass der Bußgeldbescheid alle relevanten Informationen enthalten muss, um die Verteidigungsrechte des Unternehmens zu gewährleisten. Dies umfasst die genaue Beschreibung der vorgeworfenen Verstöße sowie die Darstellung des Kontextes, in dem diese Verstöße stattfanden.
- Konkrete Darstellung der Verstöße: Der Bußgeldbescheid der Berliner Datenschutzbehörde wurde als ausreichend konkret angesehen, da er die vorgeworfenen Verstöße detailliert darstellte und somit die Umgrenzungs- und Informationsfunktion erfüllte. Der Bescheid umfasste 17 Seiten und beschrieb die Verstöße ausführlich, was die Grundlage für eine fundierte Verteidigung bildete.
- Keine Notwendigkeit der Benennung natürlicher Personen: Der EuGH hat klargestellt, dass es nicht notwendig ist, im Bußgeldbescheid eine konkrete natürliche Person zu benennen, die den Verstoß begangen hat. Diese Klarstellung ermöglicht es, die Haftung direkt auf das Unternehmen zu beziehen, unabhängig von individuellen Fehlverhalten von Mitarbeitern.
Bewertung der Entscheidung des KG
Die Entscheidung des KG Berlin stellt klar, dass Unternehmen für Verstöße gegen die DSGVO direkt haftbar gemacht werden können, ohne dass eine konkrete natürliche Person benannt werden muss. Dies stärkt die Durchsetzung des Datenschutzrechts und stellt sicher, dass Unternehmen ihre Verantwortung für den Schutz personenbezogener Daten ernst nehmen.
Der Beschluss betont die Notwendigkeit detaillierter Bußgeldbescheide, um die Verteidigungsrechte der betroffenen Unternehmen zu gewährleisten. Diese Klarstellungen sind entscheidend für die Praxis der Datenschutzaufsicht und die rechtliche Behandlung von Datenschutzverstößen in Unternehmen.
Ausführungen des KG
Die vom EuGH für den Bereich der DSGVO entwickelten materiell-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten auch das diesbezügliche nationale Verfahrensrecht (hier § 66 OWiG):
Nach § 66 OWiG muss der Bußgeldbescheid „die Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird, Zeit und Ort ihrer Begehung, die gesetzlichen Merkmale der Ordnungswidrigkeit und die angewendeten Bußgeldvorschriften“ enthalten. Der Bußgeldbescheid muss den Tatvorwurf nach gefestigtem Verständnis formal und sachlich umgrenzen (Umgrenzungsfunktion) und den Betroffenen ausreichend über den Tatvorwurf unterrichten (Informationsfunktion) (vgl. BGHSt 23, 336; Senat Verkehrsrecht aktuell 2019, 123 [Volltext bei juris]; OLG Celle ZfSch 2015, 649).
Hier ist rechtstechnisch zusätzlich zu beachten, dass die in § 66 OWiG niedergelegten verfahrensbezogenen Anforderungen an die Gestaltung des Bußgeldbescheids den durch den EuGH formulierten Grundsätzen des materiellen Rechts folgen. Die vom EuGH entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten das diesbezügliche nationale Verfahrensrecht. Formuliert der EuGH etwa, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so folgt daraus zwingend, dass sich die Bezeichnung einer solchen natürlichen Person auch nicht aus dem nationalen Verfahrensrecht, hier § 66 OWiG, ergeben muss.
Der Auffassung der Verteidigung, die Wirksamkeit des Bußgeldbescheids als Verfahrensvoraussetzung bemesse sich nach § 66 OWiG, trifft damit allgemein zu, denn eine Suspendierung der gesamten Vorschrift steht auch angesichts des nun anzuwendenden europarechtskonformen Verantwortungs- und Haftungsregimes nicht in Rede. Vielmehr sieht Art. 83 Abs. 8 DSG-VO vor, dass die „Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde“ unionsrechtskompatiblen Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ unterliegt. Daher verweist § 41 BDSG auf Verfahrensvorschriften des OWiG und der StPO, und auch § 66 OWiG ist als grundlegendes nationales Verfahrensrecht anwendbar. Seine Auslegung allerdings richtet sich hier nach den sachlich-rechtlichen Vorgaben des übergeordneten Europarechts in der durch den EuGH nun gegebenen Ausprägung.
c) Unter Zugrundelegung der Maßgaben aus der Vorabentscheidung des EuGH und ihrer Weiterungen auf das nationale Verfahrensrecht erfüllt der Bußgeldbescheid der BlnBDI die Voraussetzungen des § 66 OWiG. Ohne Weiteres grenzt der Bußgeldbescheid den Gegenstand des Verfahrens in persönlicher, sachlicher und rechtlicher Hinsicht ab, und die Betroffene kann mühelos erkennen, welcher konkrete Vorwurf gegen sie erhoben wird. Namentlich die durch § 66 Abs. 1 Nr. 3 OWiG erforderten Essentialia, nämlich die „Bezeichnung der Tat, die dem Betroffenen zur Last gelegt wird“ sowie „Zeit und Ort ihrer Begehung“, sind bei der gebotenen funktional-normativen Betrachtung eingehalten (…)
Nicht folgen kann der Senat der Überlegung der Betroffenen, der Bußgeldbescheid müsse konkretisieren, „welches Organ durch welche Handlung die Voraussetzungen des § 30 OWiG erfüllt hat“. Abgesehen davon, dass der Bußgeldbescheid die Rechtsverstöße auch in ihrer Entstehung („Handlung“) durchaus nachvollziehbar darstellt und umreißt, deduziert sich ein solches Erfordernis aus der überkommenen Vorstellung, eine Verbandshaftung erfordere das Verschulden eines Repräsentanten (§ 30 OWiG) oder eine Aufsichtspflichtverletzung (§ 130 OWiG). Sie lässt die europarechtlichen Einflüsse auf das Verbandsanktionenrecht außen vor und missachtet die Rechtsprechung des EuGH im hiesigen Vorabentscheidungsverfahren.
Wenn der EuGH ausdrücklich formuliert, die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46), so stellt er klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (Rn. 44). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“ (vgl. als Kritik an der überkommenen nationalen Rechtslage: HK-OWiG/Schmitt-Leonardy, 2. Aufl., § 30 Rn. 13). Nach der Vorabentscheidung des EuGH ist auch eine juristische Person schuldfähig, so dass es zu einem Gleichlauf von Verantwortlichkeit und Haftbarkeit kommt (vgl. Grages/Strassemeyer, CR 2024, 10). Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation. Dies entspricht dem Effektivitätsgrundsatz des europäischen Rechts (…)
Auch kann sich der Senat der noch weitergehenden Überlegung der Verteidigung nicht anschließen, es sei sogar „unverzichtbar, dass ein Bußgeldbescheid die verfahrensmaßgeblichen Handlungen der natürlichen Person beschreibt“, um einen Vorwurf gegen den Verband „erkennen, abgrenzen, bewerten und sich gegen ihn verteidigen zu können“. Auch diese Auffassung verstößt eklatant gegen das im hiesigen Verfahren ergangene Urteil des EuGH. Das durch die Verteidigung erkannte Erfordernis geht darüber hinweg, dass eine Sanktionierung gerade nicht erfordert, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“ (Rn. 46). Dieses klare EuGH-Diktum ist mit der Forderung der Verteidigung, der Bußgeldbescheid müsse die „Handlung der natürlichen Person beschreiben“, ersichtlich unvereinbar.
Allerdings gilt auch insoweit: Der Bußgeldbescheid beschreibt die vorgeworfenen Handlungen – zum großen Teil in der Form des Unterlassens der Löschung, teilweise als unterlassene Kennzeichnung von Daten – nachvollziehbar und deutlich. Der Betroffenen ist es möglich und unbenommen, im Bußgeldverfahren darzustellen, dass die Daten nicht gespeichert oder rechtmäßig gespeichert und ggf. rechtzeitig gelöscht wurden. Jedenfalls unter Zugrundelegung der vom EuGH umrissenen Grundzüge einer umfassenden Unternehmensverantwortung ist nicht ersichtlich, dass eine noch ausführlichere und noch „konkretere“ Darstellung der Tatvorwürfe im Bußgeldbescheid die Verteidigungsmöglichkeiten der Betroffenen substantiell erweitern könnte. Durch das EuGH-Judikat verringerte Exkulpationsmöglichkeiten sind nicht Folge eines unkonkret bleibenden Bußgeldbescheids, sondern einer dem Effektivitätsgrundsatz geschuldeten europarechtskonform erweiterten Verbandsverantwortung.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024