DSGVO-Bußgelder gegen Unternehmen – in Deutschland oft unmöglich
Wenn von Bußgeldbescheiden nach der DSGVO die Rede ist, geht es meist um Bußgelder, die gegen Unternehmen verhängt werden. Dabei wird zumeist übersehen, dass deutsches Bußgeldrecht Anwendung findet. Und die Anforderungen an einen Bußgeldbescheid nach der DSGVO sind nach deutschem Recht hoch.
Art. 83 DSGVO ist die Schreckensnorm des europäischen Datenschutzrechts. Für nahezu jeden Verstoß gegen Bestimmungen der DSGVO sieht Art. 83 eine Ahndung durch drakonische Bußgelder vor – bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes.
Art. 83 DSGVO: Kein Wort zur Zurechnung
Dass Unternehmen Datenschutzverstöße begehen und dafür bestraft werden können, ist gar nicht so selbstverständlich, wie es auf den ersten Blick scheint. Denn das Unternehmen ist ein rechtliches Gebilde (meist eine juristische Person), das selbst nicht handeln kann. Handeln können nur die Mitarbeiter und die Geschäftsleitung oder Dienstleister – allesamt natürliche Personen. Eine Bestrafung des Unternehmens setzt daher voraus, dass
- eine Person einen Datenschutzverstoß begangen hat und
- das Unternehmen für diesen Verstoß verantwortlich ist.
Wenn der Hausmeister eines Unternehmens sensible Personendaten ausplaudert oder wenn der Mitarbeiter eines IT-Dienstleisters bei der Fernwartung sensible Daten des Unternehmens ausspäht, muss man fragen, ob das Unternehmen für dieses Fehlverhalten per Bußgeldbescheid zur Verantwortung gezogen werden kann. In der DSGVO findet man auf diese Frage keine Antwort.
§ 30 und 130 OWiG: auf Datenschutzverstöße anwendbar
Deutlich ergiebiger ist das deutsche Recht. Nach § 41 Abs. 1 BDSG findet das Gesetz über Ordnungswidrigkeiten (OWiG) auf DSGVO-Bußgelder Anwendung. Anwendbar sind daher auch die Bestimmungen der §§ 30 und 130 OWiG.
Gegen Unternehmen kann nach geltendem deutschen Recht keine strafrechtliche Sanktion verhängt werden, wenn nicht die Voraussetzungen des § 30 oder des § 130 OWiG erfüllt sind. Rechtspolitisch ist dies umstritten. Das BMJV hat unlängst einen Referentenentwurf für ein Verbandssanktionengesetz vorgelegt, das neue, empfindliche Strafen gegen Unternehmen vorsieht.
Voraussetzungen des § 30 OWiG
§ 30 OWiG erlaubt ein Bußgeld gegen ein Unternehmen nur,
- wenn ein Organ oder ein Mitarbeiter in leitender Position eine Straftat oder Ordnungswidrigkeit begangen hat und
- wenn hierdurch Pflichten des Unternehmens verletzt worden sind oder das Unternehmen bereichert wurde.
Das Fehlverhalten eines Hausmeisters reicht nach § 30 OWiG für ein Bußgeld eben so wenig aus wie kriminelle Handlungen, die ein Mitarbeiter eines Dienstleisters begangen hat. Ohne dass festgestellt wird, dass ein leitender Mitarbeiter des Unternehmens eine Straftat oder Ordnungswidrigkeit begangen hat, kann gegen das Unternehmen kein Bußgeld verhängt werden.
Voraussetzungen des § 130 OWiG
§ 130 OWiG hat einen anderen Blickwinkel und erlaubt ein Bußgeld gegen ein Unternehmen, wenn
- der Inhaber eines Unternehmens oder ein Organ des Unternehmens vorsätzlich oder fahrlässig Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um Zuwiderhandlungen gegen Straf- oder Bußgeldnormen zu verhindern und
- es zu einer Zuwiderhandlung gekommen ist, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.
Für das Fehlverhalten eines Hausmeisters oder Dienstleisters bedeutet dies, dass ein solches Fehlverhalten nach § 130 OWiG nur dann durch ein Bußgeld gegen das Unternehmen geahndet werden kann, wenn feststeht, dass
- Pflichtverletzung: der Inhaber oder ein Organ des Unternehmens vorsätzlich oder fahrlässig Aufsichtspflichten verletzt hat und
- Wesentliches Erschweren: das Fehlverhalten durch pflichtgemäße Aufsichtsmaßnahmen zumindest wesentlich erschwert worden wäre.
Erhebliche Hürden für Bußgelder
Die Hürden für Bußgelder, die sich aus § 30 und § 130 OWiG ergeben, sind somit nicht zu unterschätzen. Die bloße Feststellung eines Datenschutzverstoßes reicht noch lange nicht aus, um ein Bußgeld gegen das Unternehmen zu verhängen. Es bedarf jedenfalls der Feststellung, dass
- Menschliches Verhalten: eine Person aus der Führungsebene einen Datenschutzverstoß begangen oder Aufsichtspflichten verletzt und dabei
- Vorwerfbarkeit: vorsätzlich oder fahrlässig gehandelt hat.
Der Nachweis dieser Voraussetzungen stellt die Aufsichtsbehörden vor die Aufgabe, entsprechende Ermittlungen anzustellen und einen Tatbestand festzustellen, der den Anforderungen der §§ 30 und 130 OWiG genügt (instruktiv OLG Jena v. 2.11.2005 - 1 Ss 242/05).
Vereinbarkeit der §§ 30 und 130 OWiG mit Art. 83 DSGVO
Die §§ 30 und 130 OWiG erschweren die Verhängung von Bußgeldern gegen Unternehmen ganz erheblich, und es ist evident, dass dies zwar möglicherweise nicht dem Wortlaut, wohl aber der Intention des Art. 83 DSGVO widerspricht, sodass sich die Frage stellt, ob die §§ 30 und 130 OWiG einschränkend ausgelegt werden müssen (vgl. Golla in Auernhammer, DSGVO/BDSG, 6. Aufl. 2018, § 41 BDSG, Rz.6; Bergt in Kühling/Buchner DSGVO/BDSG, 2. Aufl. 2018, § 41 BDSG, Rz. 7).
Drei Gründe sprechen jedoch dafür, dass § 30 und § 130 OWiG in vollem Umfang anwendbar sind:
- Erstens "Zurechenbarkeit": Art. 83 DSGVO lässt die zentrale Frage von Zurechnungskriterien für das Fehlverhalten von Mitarbeitern und Dienstleistern vollständig offen. Dies ist ein Vakuum, das nur durch das Recht der Mitgliedsstaaten gefüllt werden kann.
- Zweitens "Reichweite": Art. 83 DSGVO lässt sich kein tauglicher Maßstab entnehmen, um zu entscheiden, wie weit die Einschränkungen bei der Anwendung des § 30 und des § 130 OWiG gehen sollen.
- Drittens "Schuldprinzip": Den §§ 30 und 130 OWiG liegt das Schuldprinzip zugrunde („nulla poena sine culpa“). Das Schuldprinzip ist „europafest“, da es zu der wegen Art. 79 Abs. 3 GG unverfügbaren Verfassungsidentität gehört. Dies hat das BVerfG in seinem Urteil zu dem Vertrag von Lissabon ausdrücklich festgestellt (Urteil vom 30.6.2009, Az. 2 BvF 2/08 u.a., Rn. 364).
Schuldprinzip – „europafest“
In seinem Lissabon-Urteil hat das BVerfG a.a.O. das Schuldprinzip aus der Menschenwürde-Garantie abgeleitet (Art. 1 Abs. 1 GG). Juristische Personen haben keine Menschenwürde. Daher wird in der aktuellen Diskussion um ein Unternehmensstrafrecht immer wieder bestritten, dass das Schuldprinzip auch für juristische Personen gilt. Dabei wird verkannt, dass es noch eine zweite Wurzel des Schuldprinzips gibt:
das Rechtsstaatsprinzip.
Aus dem Rechtsstaatprinzip hat das BVerfG das Schuldprinzip einst als Verfassungsrechtssatz abgeleitet (BVerfG vom 25.10.1966, Az. 2 BvR 506/63). Eine „Vergeltung für einen Vorgang, den der Betroffene nicht zu verantworten hat“ (BVerfG, aaO), darf es in einem Rechtsstaat nicht geben. Dies gilt für Unternehmen und juristische Personen ebenso wie für den einzelnen Bürger.
Fazit: Die Datenschutzbehörden sind nicht zu beneiden
Die Datenschutzbehörden werden sich an der DSGVO in den nächsten Jahren den ein oder anderen rechtsstaatlichen Zahn ausbeißen. Wenn Bußgeldbescheide vor den Strafgerichten angegriffen werden, wird es den Strafrichtern nicht ausreichen, dass die Behörden einen Datenschutzverstoß nachweisen, der „durch das Unternehmen“ begangen worden ist. Die Strafgerichte werden fragen, welche Person durch welche Handlungen oder Unterlassungen gegen Bestimmungen der DSGVO verstoßen haben. Sie werden den Nachweis von Vorsatz oder Fahrlässigkeit einfordern. Und sie werden verlangen, dass festgestellt wird, dass einem Mitarbeiter in leitender Funktion ein Verschulden (§ 30 OWiG) oder die Verletzung einer Aufsichtspflicht (§ 130 OWiG) nachgewiesen wird. Dies stellt die Aufsichtsbehörden vor gewaltige Herausforderungen, um die die Behörden nicht zu beneiden sind.
(Diesen Beitrag habe ich gemeinsam mit meinem Kollegen Lasse Konrad verfasst. Der Beitrag ist der Auftakt einer kleinen Beitragsreihe zur "DSGVO im Rechtsstaat").