Update Compliance 3/2021
Datenschutzverstöße und ihre Folgen - Bestätigung der Bußgeldpraxis der Datenschutzaufsichtsbehörden in Verfahren gegen Unternehmen im Fall „1&1"?
Der Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) sah sich bestätigt: Das Landgericht Bonn hatte am 11. November 2020 als erstes deutsches Gericht im Rahmen eines großen Gerichtsverfahrens über ein von einer deutschen Aufsichtsbehörde nach der DSGVO verhängtes Bußgeld geurteilt. Wie bereits im Rahmen des Update Datenschutz Nr. 86 im Einzelnen dargestellt, hat es über ein durch den BfDI gegen die 1&1 Telekom GmbH wegen eines Datenschutzverstoßes verhängtes Bußgeld entschieden – und dieses um 90% herabgesetzt.
Das Gericht erteilte zwar dem behördlichen zugrunde gelegten „Konzept der unabhängigen Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen“ aufgrund dessen eindeutiger Fokussierung auf den Umsatz in seiner derzeitigen Ausgestaltung eine klare Absage. Gleichzeitig aber bestätigte es die Rechtsansicht der Datenschutzaufsichtsbehörden im Hinblick auf die Obergrenze des Bußgeldes bei Unternehmen und senkte – ebenfalls in Übereinstummung mit der Auffassung der Aufsichtsbehörden – die Anforderungen an die Verhängung des Bußgeldes selbst:
1. Unmittelbare Verbandshaftung
Das Gericht bestätigte zunächst die Auffassung der Aufsichtsbehörden, dass die DSGVO eine unmittelbare Verbandshaftung vorsieht (Art. 83 Abs. 4 lit. a. DSGVO). Ein Rückgriff auf das deutsche Ordnungswidrigkeitenrecht, insbesondere die Vorschriften der §§ 30, 130 OWiG, sei entbehrlich.
Daraus folgt, dass es im Falle datenschutzrechtlicher Verstöße im Unternehmen für eine Sanktionierung der juristischen Person nicht (wie bei §§ 30, 130 OWiG) erforderlich ist, dass eine Leitungsperson den Verstoß begeht. Anknüpfungspunkt der Sanktionierung bei der durch das Gericht befürworteten unmittelbaren Verbandshaftung ist lediglich der objektive Datenschutzverstoß, nicht die dafür ursächliche und schuldhafte Handlung eines Einzelnen. Nach dieser Auffassung ist für die Sanktionierung des Unternehmens mit einer Geldbuße ausreichend, dass irgendein Mitarbeiter des Unternehmens den Verstoß begeht und der Verstoß konkret benannt werde. Eine Angabe oder Identifizierung, welcher Mitarbeiter den Datenschutzverstoß begangen hat, ist danach ebenso wenig erforderlich wie ein Schuldnachweis. Das Unternehmen haftet für Verstöße sämtlicher Mitarbeiter, auch ohne Aufsichtspflichtverletzung.
2. Umstrittene Ansicht
Das Gericht begründet seine – nach wie vor umstrittene – Auffassung unter Hinzuziehung der Erwägungsgründe der DSGVO insbesondere damit, dass die Grundsätze des sogenannten supranationalen Kartellrechts heranzuziehen seien. Der europäische Gesetzgeber habe sich dieses bei der Schaffung der dem Verstoß zugrundeliegenden Vorschriften der DSGVO zum Vorbild genommen und habe mit der DSGVO insbesondere einheitliche sowie effektive Regelungen und Sanktionierungsmöglichkeiten von Datenschutzverstößen von Unternehmen schaffen wollen. Wendete man nationale Haftungs- und Zurechnungsvorschriften an, bestünde die Gefahr, dass dieses Ziel nicht erreicht und die Sanktionierung innerhalb der EU stark divergieren würde.
Diese Möglichkeit der unmittelbaren Sanktionierung von Unternehmen gemäß den Vorschriften der DSGVO ist problematisch und nach wie vor umstritten, da die Zurechnung eines Datenschutzverstoßes zu einem Verband beziehungsweise Unternehmen durch die DSGVO nicht geregelt ist. Eine unmittelbare Verbandshaftung ohne vorwerfbares Handeln auf Führungsebene steht daher in Widerspruch zu dem in Deutschland geltenden Schuldprinzip und Zurechnungsmodell der §§ 30, 130 OWiG und wirft die Frage nach dem Bestimmtheitsgrundsatz (Art. 103 Abs. 2 GG) auf.
3. Die Bußgeldbemessung
Des Weiteren nahm das Gericht zu zwei weiteren, bislang strittigen Fragen der Bußgeldzumessung bei Datenschutzverstößen Stellung:
a) Der Unternehmensbegriff
Bei der Frage nach der Bezugsgröße des Jahresumsatzes eines Unternehmens für die Höhe des drohenden Bußgeldes (Art. 83 Abs. 4 DSGVO) entschied das Gericht zugunsten des funktionalen Unternehmensbegriffs:
Danach ist für die Frage, welcher Jahresumsatz für den „gesamten weltweit erzielten Jahresumsatz“ und damit für die Bußgeldobergrenze entscheidend sei, auf das Unternehmen im funktionalen Sinne (bspw. den Gesamtkonzern), nicht auf den formalen Bußgeldadressaten als formalen Rechtsträger abzustellen.
Dies begründet das Gericht ebenfalls mit dem (funktionalen) Unternehmensbegriff des europäischen Kartellrechts, auf den die Erwägungsgründe der DSGVO verweisen, sowie auch mit den anderen Sprachfassungen der DSGVO, die ebenfalls auf die Gesamtheit des Unternehmens im funktionalen Sinn abstellen.Mit entsprechender Begründung wird auch der der Bußgeldberechnung zugrunde gelegte Jahresumsatz in Anlehnung an die Rechtsprechung des EuGH im Kartellrecht auf den Umsatz des der Sanktionsverhängung vorausgegangenen und abgeschlossenen Geschäftsjahres bezogen.
Kritik wird insoweit dahingehend laut, dass dieser Auslegung der Wortlaut der deutschen Sprachfassung der DSGVO, insbesondere Art. 4 Nr. 18 DSGVO (Begriffsbestimmungen) entgegensteht, der Unternehmen im Sinne der DSGVO als „natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt“, versteht.
b) Der Umsatz als Bußgeldbemessungskriterium
Zuletzt stellte die Kammer klar, dass der Unternehmensumsatz zwar grundsätzlich ein geeigneter Indikator für die Bußgeldbemessung sei. In erster Linie müssten für die konkrete Bestimmung der Höhe eines Bußgeldes jedoch tatbezogene Faktoren wie die Art, die Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens, die Kategorie der betroffenen Daten, etwaige Schadensbegrenzungsversuche, der Grad der Veranwortlichkeit und die Kooperation mit den Datenschutzbehörden berücksichtigt werden.
Dem Bußgeldzumessungskonzept der Datenschutzaufsichtsbehörden, das der BfDI auch der dem Gericht vorliegenden Entscheidung zugrunde gelegt hatte, dürfte damit die Grundlage entzogen sein. Denn dieses Bußgeldzumessungskonzept bestimmt die Höhe möglicher Sanktionen hauptsächlich an dem Gesamtumsatz des betroffenen (funktionalen) Unternehmens. Der Umsatz stellt indes kein Zumessungskriterium für die Sanktion im vorbezeichneten Sinne dar, sondern lediglich den Bußgeldrahmen. Dies unterstreicht auch das Landgericht:
Zwar sei der Umsatz des Unternehmens grundsätzlich für die Bestimmung der Bußgeldobergrenze als auch als ein Anhaltspunkt im Rahmen der konkreten Zumessung des Bußgeldes zu berücksichtigen. Denn Sanktionierungen müssten nicht nur verhältnismäßig, sondern auch wirksam und abschreckend sein, sodass die Ahndungsempfindlichkeit des Unternehmens als ein Punkt unter anderen berücksichtigt werden müsse, um die spezialpräventive Wirkung auf das betroffene Unternehmen zu gewährleisten. Allerdings urteilte das Gericht, dass die Bemessung des Bußgeldes in erster Linie nach den tatbezogenen Gesichtspunkten des Verstoßes, insbesondere der Schwere des Datenschutzverstoßes im Einzelfall, erfolgen solle. Nur so könnten ungerechte Ergebnisse bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen vermieden werden.
Vor diesem Hintergrund berücksichtigte das Gericht in dem ihm vorliegenden Fall das „deutliche Überwiegen mildernder Gesichtspunkte“ und kürzte in Abkehr von der weitgehenden Orientierung am Umsatz des betroffenen Unternehmens das von dem BfDI verhängte Bußgeld um ca. 90 %.
Diese Entscheidung und der zugrundeliegende Gedanke sind begrüßenswert. Denn nur auf diese Weise kommt der – allein relevanten – Art und Schwere des Datenschutzverstoßes sowie den weiteren genannten tatbezogenen Zumessungsgesichtspunkten im Rahmen der Bußgeldbemessung mehr Bedeutung zu, als der – für den konkreten Verstoß irrelevanten – Umsatzstärke des Unternehmens. Nur durch eine Abkehr von der Hauptorientierung am Umsatz des betroffenen Unternehmens können einzelfallgerechte und verhältnismäßige Sanktionen verhängt werden.
Das bedeutet freilich nicht, dass die Wirtschaftskraft eines Unternehmens irrelevant ist für die Sanktionierung. Dem steht schon § 17 Abs. 3 OWiG entgegen, demzufolge die wirtschaftlichen Verhältnisse des Täters bei der Bußgeldbemessung zu berücksichtigen sind. Diese richten sich jedoch nicht nach dem Umsatz, sondern nach anderen Wirtschaftsgrößen, insbesondere dem Gewinn.
4. Bewertung
Mit dem Urteil des Landgerichts liegt die erste gerichtliche Entscheidung vor, die darlegt, unter welchen Voraussetzungen ein Unternehmen für Verstöße seiner Mitarbeiter gegen die DSGVO mit einem Bußgeld sanktioniert werden kann. Zwar folgte das Gericht der Rechtsansicht der Datenschutzaufsichtsbehörden in Bezug auf die unmittelbare (datenschutzrechtliche) Verbandshaftung sowie in Bezug auf die von den Behörden vertretene Ansicht hinsichtlich der Bußgeldbemessungsgrundlagen. Dem am Umsatz orientierten Bußgeldkonzept der Datenschutzaufsichtsbehörden bezüglich der Bußgeldzumessung gegen Unternehmen, das diese erst ein Jahr zuvor entwickelt und veröffentlicht und dabei maßgeblich auf den Jahresumsatz des zu sanktionierenden Unternehmens gestützt hatten, erteilte das Gericht in seiner derzeitigen Ausgestaltung hingegen aus den genannten Gründen zu Recht eine klare Absage.
Auch wenn diese Entscheidung des Landgerichts Bonn als erste Entscheidung in diesem Zusammenhang gewiss von nicht unerheblicher Bedeutung, insbesondere für die Bußgeldpraxis der Datenschutzaufsichtsbehörden ist, bleibt – wie immer – abzuwarten, ob sich diese (nicht unstreitigen) Rechtsansichten in Bezug auf die Sanktionierung von Datenschutzverstößen durchsetzen werden.
5. Praxishinweis
Insoweit das Gericht – wohlgemerkt im vorliegenden Einzelfall – im Hinblick auf die Bußgeldzumessung im Sinne des bebußten Unternehmens entschieden und dem Bußgeldkonzept der Aufsichtsbehörden eine Absage erteilt hat, gibt dies aus Verteidigerperspektive Argumente an die Hand, jedenfalls gegen die Höhe eines gegen ein Unternehmen verhängten Bußgeldes vorzugehen.
Schwieriger wird dies indes im Hinblick auf die durch das Gericht bestätigte unmittelbare Verbandssanktionierung, die die Aufsichtsbehörden vermutlich zukünftig zulasten des Unternehmens heranziehen werden. Die dargestellte Entscheidung zeigt, dass Datenschutzverstöße nicht nur streng verfolgt, sondern auch dem Grundsatz nach scharf sanktioniert werden. Hiervon ist aufgrund des von dem Landgericht vertretenen Wegfalls der höheren Anforderungen an die Nachweisbarkeit des Verstoßes umso mehr auszugehen.
Damit gilt es für Unternehmen nach wie vor, bereits Datenschutzverstöße – von allen Mitarbeitern im Unternehmen – zu verhindern. Es müssen belastbare DSGVO-Strukturen implementiert, Schwachstellen identifiziert und behoben und – sämtliche – Mitarbeiter sensibilisiert, instruiert und geschult werden. Zudem ist es – so auch das Gericht – erforderlich, das Datenschutzniveau anlassbezogen (beispielsweise bei Gesetzesanpassungen) und zudem in regelmäßigen Abständen auf den Prüfstand zu stellen. Wenn nicht, drohen nicht nur Rufschädigung und erhebliche Bußgelder, sondern auch Schadensersatzansprüche der gegebenenfalls vielfach und in großer Anzahl betroffenen Personen.