15.11.2019

Datenschutz-Compliance: Ab wann beginnt die persönliche Haftung von Vorständen bei Bußgeldern?

Portrait von Dr. Olaf Koglin
Dr. Olaf Koglin Dr. Olaf Koglin ist Director Legal & Operations bei der Nachrichten-App upday und Gründer von LegalCheck, der LegalTech-Lösung für Datenschutz beim Einsatz von SaaS und Cloud-Produkten.

 

14,5 Millionen Euro - das Bußgeld gegen die Deutsche Wohnen SE markiert eine Zeitenwende. Vorbei sind die Zeiten, als Bußgelder im niedrigen Bereich lagen und schon fünfstellige Bußgelder ungewohnt hoch erschienen, also die Zeiten, in denen Datenschutz-Bußgelder quasi als operatives Risiko aus der Portokasse bezahlt werden konnten, ohne dass dies in der Bilanz und den Gesellschaftern auffiel. Zum Bußgeld selbst und dessen rechtlicher Begründung wurde bereits Stellung bezogen, u.a. hier im CRonline-Blog von bei Härting.

Im Dezemberheft CR zeigen Hanno Timner, Dr. Philip Radlanski, LL.M., und Alexander Eisenfeld, LL.M., ausführlich, warum das Bußgeldkonzept der Datenschutzkonferenz (DSK) ungeeignet ist (Timner/Radlanski/Eisenfeld, CR 12/2019).

1. DSGVO-Geldbuße:  Das unbekannte Wesen

Selbstverständlich muss die Deutsche Wohnen gegen das Bußgeld vorgehen, alles andere wäre fahrlässig. Dies hat der Vorstand bereits angekündigt.

Denn beim DSGVO-Bußgeld (oder korrekt nach Art. 83 DSGVO: der "Geldbuße") handelt es sich um eine kleine, aber spätestens nach den Bußgeldern aus Österreich und Berlin sehr relevante Rechtsmaterie. Sie hat kaum relevante Präzedenzfälle, aber viele Unklarheiten, etwa:

  • Begriff "Unternehmen": Der dem Kartellrecht entlehnte  und vom datenschutzrechtlichen Regelungsgegenstand des Verantwortlichen (Art. 4 Nr. 7 DSGVO) entkoppelte weite Unternehmensbegriff des Art. 83 Abs. 4 - 6 DSGVO, der sich auf Art. 101, 102 AEUV bezieht (ErwGr 150 S. 3, vgl. Becker in Plath (Hrsg.), DSGVO/BDSG, 3. Aufl., Art. 83 DSGVO Rz. 23), aber gleichwohl in Art. 4 Nr. 18 DSGVO eng definiert ist (die "juristische Person");
  • Bemessungskriterium oder Cap? die Frage, ob es sich bei den dort normierten Maximalwerten um ein Cap (in dem Sinne, dass diese Grenzen bei der Bußgeldbemessung zunächst außer Acht gelassen und erst anschließend als begrenzender Deckel angewandt werden; die Folge ist, dass Bußgelder leicht den Maximalwert erreichen können) oder um einen Höchstwert handelt (in dem Sinne, dass sich das Bußgeld zwischen Null und dem Maximalbetrag einzupendeln hat; die Folge ist, dass die "Höchststrafe" nur in Extremfällen verhängt wird)(siehe dazu Timner/Radlanski/Eisenfeld, CR 12/2019);
  • DSK Bußgeldkonzept: das Verhältnis des neuen Bußgeldkonzepts der DSK zu den Bemessungsvorgaben des Art. 83 Abs. 2 DSGVO (und der etwaigen Überprüfbarkeit der richtigen Ermessensausübung seitens der Behörde zu jedem einzelnen dieser Punkte)(dazu ausführlich Timner/Radlanski/Eisenfeld, CR 12/2019); und
  • GG & EU-GRCharta:verfassungsrechtliche Bedenken bei einem solch sprunghaftem Anstieg der verhängten Bußgelder (dazu die grundlegende Analyse von Timner/Radlanski/Eisenfeld, CR 12/2019).

2. Persönliche Haftung des Vorstandes:  Neubürger-Entscheidung

Doch unabhängig davon, ob das Bußgeld letztendlich Bestand haben oder es ein wenig oder auch massiv reduziert werden sollte: Es wird die Frage aufkommen, ob handelnde Personen beim Verantwortlichen schuldhaft gehandelt haben und seitens der Gesellschaft in Regress genommen werden können.

Den Grundstein für die argumentative Linie zur persönlichen Haftung des Vorstandes hat das LG München I bereits 2007 gelegt:

2013 hat das LG München I in der sog. Neubürger-Entscheidung (Urt. v. 10.12.2013 - 5 HK O 1387/10) folgende Kernaussagen präzisiert:

  • Legalitätspflicht & Compliance: Im Rahmen seiner Legalitätspflicht hat ein Vorstandsmitglied dafür Sorge zu tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße [...] erfolgen. Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet. Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit.
  • Verantwortung für Einhaltung & Funktionieren: Die Einhaltung des Legalitätsprinzips und demgemäß die Einrichtung eines funktionierenden Compliance-Systems gehört zur Gesamtverantwortung des Vorstands.

3. Anwendung auf (fehlende) Datenschutz-Compliance

In der Entscheidung des LG München I ging es um Schmiergeldzahlungen des Siemens-Konzerns, dessen früheres Vorstandsmitglied der Beklagte war. Rechtlich sind die vom LG München I aufgeführten Grundsätze aber ebenso auf Datenschutz-Compliance anzuwenden (vgl. Koglin, in: Lachenmann/Koreng, Formularhandbuch Datenschutzrecht, 2. Aufl. S. 15 u. 62).

a) Gesellschaftsrechtliche Pflicht zu Risiko-Management & interner Kontrolle

Im Anwendungsbereich des AktG besteht die Pflicht, ein Risiko-Management-System (RMS) und ein internes Kontrollsystem (IKS) vorzuhalten. Für Betriebsprüfungen existieren als unverbindlicher Maßstab die Vorgaben des Prüfungsstandards 980 des Instituts der Deutschen Wirtschaftsprüfer (IDW PS 980). Dieser wurde 2018 durch den Prüfungshinweis IDW PH 9.860.1 "Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz" ergänzt.

b) Alle Vorstandsmitglieder als Gesamtschuldner

Das LG München I hat den Ersatzanspruch gegen das Organ auf § 93 Abs. 2 S. 1 AktG gestützt. Hiernach sind Vorstandsmitglieder, die ihre Pflichten verletzen, der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. § 93 Abs. 2 S. 2 AktG sieht dabei in Zweifelsfällen eine Beweislastumkehr zulasten des Vorstandes vor.

Zu beachten ist, dass grundsätzlich alle Vorstandsmitglieder verantwortlich sind. Auch kann sich ein einzelnes Vorstandsmitglied nicht darauf berufen, die anderen Vorstandsmitglieder hätten an der Umsetzung der eigenen Vorschläge nicht ausreichend mitgewirkt (keine Exkulpation):

"Zwar muss auch ein überstimmtes Vorstandsmitglied an der Umsetzung von Vorstandsbeschlüssen loyal mitwirken. Dies kann aber dann nicht gelten, wenn sie nicht gesetzeskonform sind. Davon muss indes ausgegangen werden, weil die Notwendigkeit von Maßnahmen zur Verbesserung der Compliance-Organisation sich angesichts der dem Vorstand bekannt gewordenen Maßnahmen aufdrängen musste. Wenn ein Vorstandsmitglied wie der Beklagte mit Vorschlägen zur Verbesserung der Compliance-Organisation bei seinen Vorstandskollegen tatsächlich nicht durchgedrungen sein sollte, so hat er entsprechende Gegenvorstellungen bei seinen Kollegen anzubringen und gegebenenfalls den Aufsichtsrat einzuschalten" (LG München I, Urt. v. 10.12.2013 - 5 HK O 1387/10, openjur.de Rz. 118).

c) Sorgfaltsmaßstab

Der Sorgfaltsmaßstab wird dabei von § 93 Abs. 1 S. 1 AktG vorgegeben: Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Jedoch liegt eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln (§ 93 Abs. 1 S. 2 AktG).

Nach der Neubürger-Entscheidung muss ein Vorstandsmitglied

"im Außenverhältnis sämtliche Vorschriften einhalten, die das Unternehmen als Rechtssubjekt treffen. Dazu gehören zum einen die Vorschriften des Bilanzrechts ebenso wie die Bestimmungen des Straf- und Ordnungswidrigkeitenrechts." (LG München I, Urt. v. 10.12.2013 - 5 HK O 1387/10, openjur.de Rz. 103)

Datenschutzrechtliche Vorgaben fallen unzweifelhaft hierunter.

4. Datenschutz-Compliance "Chefsache"

Unabhängig vom Ausgang des Bußgeldes bei der Deutsche Wohnen und den konkreten einzelfallbezogenen Fragen nach Kausalität und Schadenshöhe - immerhin wurde ja vermutlich durch die fehlende Umsetzung eines wirksamen Löschkonzepts Geld gespart - wird der Bußgeldbescheid der BBfDI im Ergebnis verdeutlichen, dass Datenschutz-Compliance "Chefsache" ist. Insbesondere darf kein Vorstand oder sonstiges Organ dem Irrglauben unterliegen, dass mit der Benennung eines Datenschutzbeauftragten und seiner Ausstattung mit Personal und Budget das Datenschutz-Thema erfolgreich wegdelegiert sei. Der Datenschutzbeauftragte hat nach Art. 39 DSGVO ein sehr begrenztes Aufgabenspektrum. Die grundsätzliche Verantwortung für Datenschutz-Compliance bleibt beim Organ.

 

Zurück