Wer ist der eigentliche Normadressat des Art. 83 DSGVO? Wird ein Verschulden oder eine Fahrlässigkeit für das Bußgeld vorausgesetzt? Was versteht man unter Rechtsträgerprinzip und Verbandshaftung? Dieser Beitrag beleuchtet diese wesentlichen Voraussetzungen und Fragestellungen in Bezug Bußgelder nach Art. 83 DSGVO.
Der Inhalt im Überblick
Grundsätzliches zu Geldbußen in der DSGVO
Im Rahmen der Zuständigkeit der Aufsichtsbehörde kann diese im Einzelfall wirksame, verhältnismäßige und abschreckende Bußgelder erlassen, wobei sich die Höhe der Geldbußen nach Art. 83 DSGVO richtet:
- Art. 83 Abs. 4 DSGVO bei Verstoß gegen die DSGVO
Geldbuße in Höhe von bis zu 10.000.000 EUR oder von bis zum 2% des weltweit erzielten Vorjahresumsatzes - Art. 83 Abs. 5 DSGVO bei Verstoß gegen die DSGVO
Geldbuße in Höhe von bis zu 20.000.000 EUR oder von bis zum 4% des weltweit erzielten Vorjahresumsatzes - Art. 83 Abs. 6 DSGVO bei Verstößen gegen Anweisungen
Geldbuße in Höhe von bis zu 20.000.000 EUR oder von bis zum 4% des weltweit erzielten Vorjahresumsatzes
Neben den Geldbußen stehen den Aufsichtsbehörden noch die Sanktionen nach Art. 84 DSGVO oder weitere Maßnahmen nach Art. 58 DSGVO zur Verfügung.
Wer ist der Normadressat für Bußgelder?
Ziel ist es mit EU-weiten, gleichen Sanktionen, zu denen auch das Bußgeld gehört, ein einheitliches Datenschutzniveau zu erreichen und Wettbewerbsverzerrungen zu verhindern. Normadressaten der Geldbußen gem. Art. 83 Abs. 4, 5 und 6 DSGVO sind ausschließlich:
- die Verantwortlichen in Art. 83 Abs. 4 lit. a DSGVO
- die Auftragsverarbeiter in Art. 83 Abs. 4 lit. a DSGVO
- die Zertifizierungsstellen in Art. 83 Abs. 4 lit. b DSGVO
- die Überwachungsstellen in Art. 83 Abs. 4 lit. c DSGVO.
Nicht entscheidend dagegen, sind die einzelnen handelnden Personen, diese müssen nur einer der vorgenannten Stellen zuordenbar sein. Etwas anderes ergibt sich nur, wenn die handelnde Person selbst Verantwortlicher oder Auftragsverarbeiter ist.
Gibt es für Bußgelder eine Verbandshaftung?
Die Klassifizierung der Haftung für Bußgelder ist derzeit noch umstritten. So wird teilweise die Anschauung vertreten, dass in Art. 83 DSGO eine unmittelbare Verbandshaftung geregelt ist und es daher nicht auf das Verschulden oder die Fahrlässigkeit einer natürlichen Person in der Leitungsebene ankommt.
Verbandshaftung sui generis
Festgemacht wird dies daran, dass in der DSGVO bei Datenschutzverstößen direkt der Verantwortliche, also die juristische Person, unabhängig von einem Verschulden haftbar gemacht werden soll und die Aufsichtsbehörden für die Entscheidung „ob“ ein Bußgeld erhoben wird, kein Ermessen haben. Wird also auf das Verschulden oder die Fahrlässigkeit nicht abgestellt, dann benötigt man auch keine Zurechenbarkeit eines Datenschutzverstoßes an eine handelnde, natürliche Person, d.h. es tritt eine reine Verbandshaftung ein.
Die Historie belegt, dass ursprünglich in den Entwürfen von Rat und Kommission eine Sanktion nur bei Vorsatz oder Fahrlässigkeit möglich sein sollte, wohingegen das europäische Parlament (EP) bereits Sanktionen bei Verstößen gegen festgelegte datenschutzrechtliche Pflichten befürwortete. Geldbußen sollten daher aus Sicht des EP verschuldensunabhängig erfolgen.
Für diese Ansicht spricht, dass in der DSGVO auf das europäische Kartellrecht in Art. 101 und 102 AEUV Bezug genommen wird, insbesondere wird in EG 150 auf den kartellrechtlichen Unternehmensbegriff bei der Bußgeldhöhe (siehe auch EG 148) abgestellt. Bei kartellrechtlichen Sanktionen wird nur auf das wettbewerbswidrige Handeln des Unternehmens bzw. der Unternehmensgruppe abgestellt. Nach dieser Anschauung wäre der Gegenstand der Haftung und der damit einhergehenden Sanktionen allein der Datenschutzverstoß und nicht die ursächliche und schuldhafte Handlung einer natürlichen Person.
Bleibt es in Bezug auf Bußgelder bei der Rechtsträgerhaftung?
Diese oben beschriebene verschuldensunabhängige Verbandshaftung ist im deutschen OWIG-Recht grundsätzlich nicht vorgesehen. Vielmehr wird in § 30 OWIG auf eine im konkreten Fall verletzte Aufsichtspflicht einzelner Personen in der Leitungsebene abgestellt, die eine erforderliche und zumutbare Aufsichtspflicht verletzt haben, d.h. die Person aus der Leitungsebene muss schuldhaft und rechtswidrig gehandelt haben. Dieses konkrete, schuldhafte Verhalten der natürlichen Person muss die Datenschutzaufsichtsbehörde daher in dem Bußgeldbescheid spezifisch darlegen.
Selbst wenn auf die in § 130 Abs. 1 OWIG abgestellte Garantiehaftung (Generalverantwortung der Geschäftsleitung für Compliance) verwiesen wird, in dem der Geschäftsleitung vorgeworfen werden würde, die normalerweise übliche Aufsichtspflicht gegenüber Mitarbeitern, die nicht der Leitung angehören, verletzt zu haben, wäre dies nicht für § 130 OWIG ausreichend. Auch in diesem Fall müsste von der Datenschutzaufsicht im Bußgeldbescheid herausgearbeitet werden, dass die unterlassene Aufsichtspflicht bzw. der Teil der unterlassenen Aufsichtspflicht, der einer einzelnen Person der Leitungsebene vorgeworfen wird, mit an Sicherheit grenzender Wahrscheinlichkeit den Eintritt des Datenschutzverstoßes verhindert bzw. in erheblichen Maße behindert hätte. Das dem OWIG zugrundeliegende Schuldprinzip besagt, dass ein Bußgeld mit staatlichen Sanktionscharakter nur an die schuldhafte Handlung einer natürlichen Person geknüpft werden kann.
Abwarten und Tee trinken
Derzeit ist noch offen, wie diese Thematik gelöst wird. Der Beschluss LG Berlin (Az.: 526 OWi LG) zeigt, dass dieser Streitpunkt in der Praxis einer Lösung zugeführt werden muss. Derzeit vertreten Teile der Datenschutzaufsichtsbehörden und das LG Bonn die Verbandstheorie, wohingegen das LG Berlin die Rechtsträgerhaftung vertritt und darauf verweist, dass ein Unternehmen nicht Betroffene in einem Bußgeldverfahren sein kann, sondern nur die natürliche Person. Bis dieser Meinungsstreit etwa durch eine Vorlage beim EUGH geklärt wird, bleibt den betroffenen Verantwortlichen nur, die Bußgeldbescheide genau zu prüfen und sowohl mit materiell-rechtlichen sowie verfahrensrechtlichen Argumenten dagegen vorzugehen.