Probleme bei der Unternehmenshaftung für Datenschutzverstöße
Nach Maßgabe der DSGVO (insb. gem. Art. 83 DSGVO) ist bei Verstößen gegen das Datenschutzrecht das OWiG für die Verhängung von Geldbußen anwendbar (Vgl. § 41 BDSG). Danach haben Datenschutzbehörden die Möglichkeit, Verstöße von Unternehmen bzw. juristischen Personen zu sanktionieren. Über die Anwendung und Auslegung der einschlägigen §§ 30, 130 OWiG haben sowohl das LG Bonn[1] als auch das LG Berlin[2] mit stark divergierenden Ergebnissen – die auch wichtige Pfeiler des Grundgesetzes betreffen – entschieden.
Worum geht es?
Gem. § 30 Abs. 1 Nr. 5 OWiG kann die Datenschutzbehörde einer Person eine Geldbuße auferlegen, die für die Leitung des Betriebs oder Unternehmens verantwortlich (…) handelt und eine Straftat oder Ordnungswidrigkeit begangen hat. Dabei muss es sich um eine Pflicht verletzt worden sein, die der juristischen Person oder der Personenvereinigung obliegt.
Auch § 130 OWiG normiert die Sanktion einer Ordnungswidrigkeit durch Strafe oder Geldbuße, wenn der Inhaber eines Unternehmens oder Betriebs schuldhaft Aufsichtsmaßnahmen unterlassen hat, die erforderlich sind, um Zuwiderhandlungen gegen Pflichten, die dem Inhaber obliegen, zu verhindern.
Problematisch ist für die Ahndung von Ordnungswidrigkeiten der Umstand, dass Unternehmen nicht selbstständig handeln können. Ihre Organe und Vertreter handeln für sie. Eine bestimmbare Handlung ist für jede staatliche Strafverfolgung jedoch fundamental konstitutiv. Dies schlägt sich auch in den §§ 30, 130 OWiG nieder, die explizit an Handlungen von natürlichen Personen (Inhabern oder Leitungspersonal) anknüpfen.
Das (europäische) Schuldprinzip
Nach dem europäischen Schuldprinzip – welches das Grundgesetz und die Rechtsstaatlichkeit der Bundesrepublik maßgeblich prägt – erfordert jede Strafe eine vorwerfbare Handlung des Betroffenen. Aus dem Grundgesetz ergibt sich ein Schuldgrundsatz, der seinerseits der lateinischen Formel „nulla poena sine culpa“ entspringt.[3] Das BVerfG[4] hat diesbezüglich 1966 konstatiert:
„Ein strafrechtlicher Vorwurf aber setzt Vorwerfbarkeit, also strafrechtliche Schuld voraus. Andernfalls wäre die Strafe eine mit dem Rechtsstaatsprinzip unvereinbare Vergeltung für einen Vorgang, den der Betroffene nicht zu verantworten hat.“
Dieser Schuldgrundsatz lässt sich auch auf Ebene des Unions- und Europarechts wiederfinden.[5] Zwar erwähnen weder GRCh noch EMRK das Schuldprinzip explizit. Die Geltung des Schuldgrundsatzes ist dennoch e contrario aus der in beiden Statuten vorhandenen Unschuldsvermutung abzuleiten.[6]
Schwierigkeiten bereitet das Schuldprinzip der §§ 30, 130 OWiG dadurch, dass der richterliche Rechtsanwender beim evidenten Vorliegen eines Verstoßes gegen das Datenschutzrecht eine Zurechnung vornehmen muss.[7] Vor Gericht ist demnach eine schuldhaft rechtswidrige Handlung ausfindig zu machen, die zu dem Verstoß geführt hat. Gerade, weil Unternehmen nicht selbst handeln können, kann es nicht genügen, dass es „durch“ das Unternehmen zu einer Rechtsverletzung gekommen ist. Indes bedarf es für die Haftung des Unternehmens einer konkret-ursächlichen Handlung einer oder mehrerer in § 30 OWiG genannter (Leitungs-)Personen in dessen Reihen.
Das LG Bonn vertritt jedoch die Auffassung, dass die §§ 30, 130 OWiG kraft Vorrangs des EU-Rechts nicht anzuwenden sind. Dabei verweist es maßgeblich auf eine der DSGVO angeblich innewohnende Verwandtschaft mit dem Regelungszweck des EU-Kartellrechts. Auf Schuld und Zurechnung komme es folglich nicht an, vielmehr würde es sich um eine Verbandsverbandsverantwortlichkeit „sui generis“ i.S.e. Erfolgshaftung handeln. Was ist von dieser Ansicht zu halten?
Urteil des LG Bonn
Gestritten wurde im Verfahren vor dem LG Bonn[8] über einen Bußgeldbescheid des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), mit dem gegen einen Telekommunikationsdienstleister (1&1 Telecom GmbH) wegen eines Verstoßes gegen Art. 32 Abs.1, 2 DSGVO gem. Art. 83 Abs.1, 2 und 4 DSGVO eine Geldbuße i.H.v. 9,55 Mio. Euro festgesetzt worden war. Eine Frau hatte bei der 1&1 Hotline angerufen und bekam so die Handynummer ihres Ex-Mannes heraus, der sich dann belästigenden Anrufen und anderen Unannehmlichkeiten ausgesetzt sah. Zwar senkte das LG Bonn das Bußgeld auf 900.000 Euro herab, entschied jedoch, dass es dem Grunde nach berechtigt sei.
Trotz im Bußgeldbescheid fehlender Ausführungen zu einer vorwerfbaren Handlung einer natürlichen Person als Anknüpfungstat des § 30 OWiG vertrat das LG Bonn die Ansicht, dass der Datenschutzverstoß als Erfolg selbst für eine Verbandshaftung ausreichend ist, sodass es gerade nicht einer ursächlichen, schuldhaften Handlung einer bestimmbaren, natürlichen Person für die Sanktionierung bedarf.
Konflikt zwischen § 30 OWiG und EU-Recht
Im gleichen Zuge führt das LG Bonn aus, dass dem deutschen Sanktionsrecht eine solche unmittelbare Verbandshaftung zwar unbekannt ist. Der europäische Gesetzgeber hätte bei der Schaffung der Art. 83 Abs. 4-6 DSGVO aber das europäische Kartellrecht zum Vorbild gehabt, welches gerade von einer unmittelbaren Haftung des Unternehmens unabhängig von einer konkret vorwerfbaren Handlung ausgeht.[9] Dies leitet das LG Bonn aus Erwgrd. 150 der DSGVO ab, welcher in Satz 3 ausdrücklich auf den Unternehmensbegriff nach Art. 101 und 102 AEUV verweist. § 30 OWiG wiederum sei mit dem darin verankerten Rechtsgedanken der unmittelbaren Unternehmenshaftung nicht vereinbar und begründe nicht eine „Einschränkung und Schwächung des unionsrechtlichen Haftungsmodells“.[10] Konsequent verweigert das LG Bonn schlicht die Anwendung der §§ 30, 130 OWiG.
Verstoß gegen das Analogieverbot?
So stellt sich bereits die Frage danach, was das „unionsrechtliche Haftungsmodell“ überhaupt sein soll. Durch Bezugnahme auf Erwgrd. 150 DSGVO unternimmt das LG Bonn den methodisch höchst fragwürdigen Versuch, die Haftungsgrundsätze aus dem EU-Kartellrecht auf das EU-Datenschutzrecht quasi-analog anzuwenden.
Erwgrd. 150 Satz 3 konstatiert jedoch lediglich, dass zu Zwecken der Verfolgung von Datenschutzrechtsverstößen der Begriff „Unternehmen“ so ausgelegt werden soll, wie es auch im Bereich des Kartellrechts der Fall ist. Dies dient aber nur der Bemessung der Höhe des Bußgelds, also des Bußgeldrahmens, bei bereits festgestelltem (Datenschutz-)Verstoß. Die Anwendbarkeit des Unternehmensbegriffs aus dem Kartellrecht bezieht sich folglich nur auf die Rechtsfolge eines Verstoßes gegen die DSGVO, nämlich insofern, als für die Bestimmung des Bußgeldrahmens in Art. 83 Abs. 4 bis 6 DSGVO der Umsatz der funktionalen Unternehmensgruppe i.S.d. Art. 101 und 102 AEUV zugrunde gelegt werden soll. Dies ist jedoch rechtsdogmatisch eine andere Ebene als die Tatbestandsseite, welche bereits vor der Rechtsfolge definiert, welche Handlungen bzw. (Straf-)Taten objektiv vorliegen müssen und wer schuldhaft gehandelt haben muss, um überhaupt Subjekt staatlicher Sanktion werden zu können. Gerade zu solchen Bußgeldadressaten, äußert sich Erwgrd. 150 jedoch schon deshalb nicht, weil Art. 83 DSGVO diese Adressaten bspw. in Abs. 2 lit. c selbst festlegt („Verantwortliche und Auftragsverarbeiter“).
Methodisch fragwürdig als auch (verfassungs-)rechtlich problematisch ist das Vorgehen des LG Bonn jedoch nicht nur, weil es die rechtliche Mehrebenen-Methodik der Strafverfolgung (Separation von Tatbestand und Rechtsfolge) unbillig vermischt, sondern auch, weil es diese zu Ungunsten desjenigen analog anzuwenden versucht, der sich mit einer (möglichen) staatlichen Sanktion konfrontiert sieht. Das Gericht versucht, die Bestimmung des Erwgrd. 150 für die Bemessung der Bußgeldhöhe (als Rechtsfolge eines zuvor festzustellenden Verstoßes) analog auf die Zurechnung und das Vorliegen einer schuldhaften Handlung auf Tatbestandsseite anzuwenden; dies zum Nachteil des Betroffenen.
Exkurs: Analogieverbot
Das Analogieverbot, was aus Art. 103 Abs. 2 GG folgend von hoher Wichtigkeit für den deutschen Rechtsstaat ist, soll indes gerade ein solches Vorgehen verhindern. Aus ständiger Rechtsprechung des BVerfG dazu folgt, dass jede Anwendung von Strafrecht ausgeschlossen ist, die tatbestandsausweitend über den Inhalt einer gesetzlichen Sanktionsnorm hinausgeht.[11] Der Wortlaut einer Norm ist zudem als äußerste Grenze jeder zulässigen richterlichen Auslegung zu bestimmen.[12] Bei dieser Bestimmung kommt es auf die Sicht des Normadressaten an.[13]
Aus Sicht der für Datenschutz verantwortlichen Personen im Unternehmen kommt es für deren strafrechtliche Verantwortlichkeit konstitutiv auf eine von ihnen ausgehende, natürliche Handlung an, die aufgrund der Verletzung entsprechender ihr obliegender Pflichten sanktionierbar ist. Dies ergibt sich bei nüchterner Lesart direkt aus dem Tatbestand der §§ 30, 130 OWiG.
Das LG Bonn geht über diesen Wortlaut hinaus, wenn es ungeachtet einer gem. §§ 30, 130 OWiG erforderlichen Handlung das Unternehmen haften lässt. Insoweit wird an dieser Stelle der Wortlaut der §§ 30, 130 OWiG übergangen und in einer Weise ausgedehnt, dass zu Lasten des Unternehmens nicht mehr anhand der gerichtlich angewandten Sanktionsnorm nachvollziehbar ist, warum eigentlich sanktioniert wird.
Keine verschuldensunabhängige Unternehmenshaftung im EU-Kartellrecht
Selbst wenn entgegen den vorherigen Ausführungen eine Analogie zulässig wäre, so verkennt das LG Bonn, dass es auch im EU-Kartellrecht nicht zwingend eine unbedingte Haftung von Unternehmen unabhängig von einer (schuldhaften) natürlichen Handlung gibt.
Der im europäischen Kartellrecht geltende funktionale Unternehmensbegriff selbst sieht nämlich keine – wie vom LG Bonn impliziert – reine Erfolgshaftung vor. Vielmehr setzt dieser für die Verbandshaftung unter Anwendung des Funktionsträgerprinzips voraus, dass eine dem Verband zurechenbare Handlung einer natürlichen Person vorliegt, auch wenn es (anders als bei § 30 OWiG) keiner Handlung des Inhabers oder Geschäftsführers oder deren Kenntnis von einer Zuwiderhandlung bedarf.[14] Jedenfalls bleibt es dabei, dass Anknüpfungspunkt jeder Unternehmenshaftung die Handlung einer natürlichen Person ist.[15] Wenn also das LG Bonn feststellt, dass „(im Sinne einer) Tatsachenkenntnis (…) das Unternehmen … vorsätzlich (handelt)“[16], steht dieser Herleitung der Rechtsanwendungsfehler auf der Stirn geschrieben.
Nichtanwendung von Recht ist keine Auslegungsmethode
Das LG Bonn argumentiert weiterhin methodisch fragwürdig, dass, wenn nationale Gerichte Art. 83 DSGVO zu Sanktionszwecken anwenden, der Erwgrd. 150 der DSGVO derart Beachtung finden muss, dass im Ergebnis „für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG kein Raum ist.“[17]
Das Gericht schlussfolgert also aus Art. 83 Abs. 4 bis 6 DSGVO selbst eine Unternehmenshaftung sui generis. Dabei stützt es sich auf die Annahme, dass Gegenstand der Sanktionierung nach Art. 83 Abs. 4-6 DSGVO der Datenschutzverstoß als Erfolg ist und nicht die für den Verstoß ursächliche Handlung einer zurechnungsfähigen, natürlichen Person.
Dabei ignoriert es, dass Art. 83 DSGVO gerade darauf abzielt, dass Verstöße durch die Nationalstaaten und deren Aufsichtsbehörden (welche bereits in Art. 83 Abs. 1 mit der entsprechenden Zuständigkeit betraut werden) geahndet werden. Zu den dafür anwendbaren nationalen Verfahrensvorschriften hat die DSGVO nichts Signifikantes hinzuzufügen. Lediglich Art. 83 Abs. 8 DSGVO stellt die Anforderung, dass „angemessene Verfahrensgarantien“ des Unionsrechts und des Rechts der Mitgliedstaaten zu wahren sind. Dies hat der deutsche Gesetzgeber mit § 41 BDSG umgesetzt, welcher wiederum für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO die sinngemäße Geltung des OWiG vorsieht.
In Anbetracht geschriebenen Gesetzes in Form der §§ 30, 130 OWiG, die ausdrücklich an Handlungen natürlicher Personen anknüpfen, wirft deren unverhohlene Nichtanwendung auf Basis einer interpretativen Betrachtung eines Erwägungsgrundes erhebliche Zweifel mit Hinblick auf die Zulässigkeit der durch das LG Bonn verwandten Auslegungsmethodik auf. Das LG Bonn maßt sich eine neue Auslegungsmethode an, wenn es behauptet, unionsrechtskonform sei ein Datenschutzrechtsverstoß dann sanktioniert, wenn die §§ 30, 130 OWiG dabei unangewendet bleiben.
Das Gericht verkennt bereits grundsätzlich, dass Erwägungsgründe zwar zur Hilfe bei der Auslegung von Rechtsnormen herangezogen werden können, sie jedoch – wie es selbst feststellt[18] – weder eigene Rechtsnormqualität noch Bindungswirkung haben. Dies erst recht nicht in der Gestalt, als sie den Wortlaut des Art. 83 DSGVO erweitern würden.[19] Diese Nichtanwendung der §§ 30, 130 OWiG kommt einem Verstoß gegen die Bindung der rechtsprechenden Gewalt an Gesetz und Recht nach Art. 20 Abs. 3 GG und gleichartigen europarechtlichen Grundprinzipien gefährlich nahe.
Bei der Lektüre des Bonner Urteils drängt sich ohnehin die Frage auf, wieso die dortigen Richter kein Vorabentscheidungsverfahren nach Art. 267 AEUV initiierten. Dieses Verfahren wurde gerade zum Zwecke der Einheitlichkeit der Rechtsprechung der Gerichte der verschiedenen EU-Mitgliedstaaten im Hinblick auf EU-Recht geschaffen.[20] Stattdessen maßt sich das LG Bonn eine eigene Entscheidungskompetenz an, indem es, ohne die verdächtigte Unvereinbarkeit der §§ 30, 130 OWiG mit Unionsrecht durch den EuGH feststellen zu lassen,[21] nationales Recht schlichtweg nicht anwendet.
Beschluss des LG Berlin
Der Frage um die korrekte Anwendung der §§ 30, 130 OWiG stellte sich drei Monate nach der Bonner Entscheidung auch das LG Berlin – mit wenig überraschendem Ergebnis: So stellte es fest, dass der Ansicht des LG Bonn ausdrücklich nicht zu folgen ist. Nach der Auffassung der Berliner Richter gibt es gerade keine unmittelbare Verbandshaftung im deutschen Ordnungswidrigkeitenrecht. Folglich bedürfe es für die Haftung nach dem OWiG – auch für Datenschutzrechtsverletzungen – der Feststellung eines vorwerfbaren Handelns.
Mit Beschluss v. 18.2.2021 hat das LG Berlin[22] das Bußgeldverfahren über einen Betrag i.H.v. rund 14,5 Mio. Euro gegen das Immobilienunternehmen Deutsche Wohnen SE eingestellt. Inhaltlich ging es um die Speicherung von personenbezogenen Daten von Mieterinnen und Mietern (u.a. Identitätsnachweise, Bonitätsnachweise, Gehaltsbescheinigungen) in einem elektronischen Archivsystem, welches keine Überprüfung der Erforderlichkeit und Zulässigkeit der Speicherung sowie der Löschung der nicht mehr erforderlichen Daten gewährleistete.
Die Deutsche Wohnen SE erhob gegen den Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) Einspruch mit der Begründung, der Bußgeldbescheid führe das Unternehmen selbst als Betroffene an, jedoch ohne eine schuldhafte Handlung eines einzelnen Organmitglieds oder Repräsentanten festzustellen.
Mit Erfolg: Das LG Berlin erklärte den Bußgeldbescheid wegen „gravierender Mängel“ für unwirksam und stellte das Verfahren ein. In seinen Entscheidungsgründen setzt sich das LG Berlin insb. mit dem Schuldprinzip im Kontext der DSGVO auseinander. So stellt es fest, dass § 30 OWiG nur dann den Erlass von Bußgeldbescheiden gegen eine juristische Person ermöglicht, wenn bei einer in § 30 Abs. 1 OWiG genannten natürlichen Personen eine schuldhafte Handlung feststellbar ist.[23] Eine Verbandsverantwortlichkeit sui generis kenne § 30 OWiG gerade nicht. Insbesondere folge eine solche auch nicht aus Erwgrd. 150, da dieser nicht die hier maßgeblichen Haftungs- und Zurechnungsfragen betreffe, sondern sich auf das Kartellrecht lediglich im Hinblick auf die Bußgeldbemessung beziehe.[24] Der somit erforderliche konkrete Verstoß eines Organmitglieds oder eines Repräsentanten sei durch den Bußgeldbescheid nicht dargelegt, sodass keine Sanktionen nach §§ 30, 130 OWiG hätten verhängt werden dürfen.
Fazit
Die Datenschutzbehörden zeigen zunehmenden Verfolgungswillen. Unternehmen sollen mittels hoher Bußgelder für Datenschutzverstöße zur Verantwortung gezogen werden. Im Lichte des Beschlusses des LG Berlin scheint es zunächst so, als könnten vor allem große Unternehmen mit komplexen Konzernstrukturen aufatmen, da es bei ihnen häufig an der Feststellung einer konkreten, vorwerfbaren Handlung einer natürlichen Person scheitern wird.
Trotzdem ist Vorsicht geboten: Der Beschluss des LG Berlin ist noch nicht rechtskräftig, da die BlnBDI und die Staatsanwaltschaft gegen die Entscheidung Rechtsmittel eingelegt haben, sodass das KG zur Entscheidung berufen ist. Es bleibt zu hoffen, dass das KG sich seiner Verantwortung bewusst ist und die Rechtssache dem EuGH im Wege eines Vorabentscheidungsverfahrens nach Art. 267 AEUV zuträgt. Da jedoch erst in einigen Jahren mit einer weichenstellenden Entscheidung des EuGHs zu rechnen ist, wird die Rechtsunsicherheit für Unternehmen fortbestehen.
Die Aufsichtsbehörden sind evident der Ansicht des LG Bonn zugeneigt. Jedoch besteht nach dem Beschluss des LG Berlin zumindest die Gewissheit, dass die Datenschutzbehörden nunmehr verstärkt darauf achten werden (müssen), auch ein verletzungsbegründendes Verhalten einer natürlichen Person nachzuweisen. In der Konsequenz werden Datenschutzbehörden jedoch auch deutlich eingriffsintensiver vorgehen müssen, um ein vorwerfbares Handeln oder Unterlassen einer Leitungsperson festzustellen.
Nach der hier vertretenen Auffassung vermag nur die Ansicht des LG Berlin zu überzeugen, nach welcher eine Verbandshaftung sui generis unter Anwendung der §§ 30, 130 OWiG ausgeschlossen ist. Insbesondere das Schuldprinzip als Verfahrensgarantie i.S.d. Art. 83 Abs. 8 DSGVO gebietet, dass die Datenschutzbehörde eine vorwerfbare Handlung einer natürlichen Person feststellen muss, wenn sie ein Unternehmen für etwaige Datenschutzverstöße sanktionieren will. Dennoch steht es „unentschieden“ zwischen dem LG Bonn und dem LG Berlin. Die Rechtsunsicherheit für Unternehmen besteht fort, sodass gut beraten derjenige ist, der gerade an dieser Stelle sorgfältig vorgeht.
[1] LG Bonn v. 11.11.2020 – 29 OWi 1/20.
[2] LG Berlin v. 18.2.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20).
[3] Vgl. etwa Härting/Konrad, DSGVO im Praxistest, 2020, Rz. 312 ff.
[4] BVerfG v. 25.10.1966 – 2 BvR 506/63 = NJW 1967, 195.
[5] Vgl. Härting/Konrad, DSGVO im Praxistest, 2020, Rz. 315.
[6] Siehe Art. 48 Abs. 1 GRCh und Art. 6 Abs. 2 EMRK.
[7] Vgl. Härting/Konrad, DSGVO im Praxistest, 2020, Rz. 320 ff., 324.
[8] LG Bonn v. 11.11.2020 – 29 OWi 1/20 -, Rz. 24, juris.
[9] LG Bonn v. 11.11.2020 – 29 OWi 1/20 -, Rz. 52, juris.
[10] LG Bonn v. 11.11.2020 – 29 OWi 1/20 -, Rz. 62, juris.
[11] BVerfG v. 9.7.2019 – 1 BvR 1257/19, BeckRS 2019, 18019, Rz. 10 m.w.N.
[12] Radtke, in: Epping/Hillgruber BeckOK GG, 46. Ed. 15.11.2020, GG Art. 103, Rz. 38 m.w.N.
[13] BVerfG v. 23.6.2010 – 2 BvR 2559/08, NJW 2010, 3209, 3211 m.w.N.
[14] EuGH v. 16.2.2017 – C-95/15 P, Rz. 34 f.
[15] Vgl. Weiß, in: Calliess/Ruffert AEUV, 5. Aufl. 2016, Art. 101, Rz. 72.
[16] LG Bonn, v. 11.11.2020 – 29 OWi 1/20 -, Rz. 79, juris.
[17] LG Bonn v. 11.11.2020 – 29 OWi 1/20-, Rz. 61, juris.
[18] Ebenda.
[19] S. dazu Venn/Wybitul, NStZ 2021, 204, 206, mit dem richtigen Hinweis auf die fehlende Eignung eines Erwägungsgrunds zur Änderung materiellen Rechtes.
[20] Wegener, in: Calliess/Ruffert AEUV, 5. Aufl. 2016, Art. 267, Rz. 1.
[21] Der EuGH kann im Rahmen eines Vorabentscheidungsverfahrens gem. Art. 19 Abs. 3 lit. b Alt. 1 EUV grundsätzlich über alle Rechtssätze des Unionsrechts und deren Auslegung entscheiden.
[22] LG Berlin v. 18.2.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20) -, Rz. 5, juris.
[23] LG Berlin v. 18.2.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20) -, Rz. 28 und 21, juris.
[24] LG Berlin v. 18.2.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20) -, Rz. 23, juris.