Bußgeldbescheide nach Art. 83 DSGVO wegen Verstößen gegen das europäische Datenschutzrecht richten sich oft an Unternehmen, die für das rechtswidrige Handeln ihrer Mitarbeiter einstehen müssen. Kommt es dabei für die Haftung des Unternehmens darauf an, ob der Mitarbeiter Führungskraft oder Sachbearbeiter ist? Die Antwort auf diese Frage hängt entscheidend davon ab, ob unser nationales Bußgeldrecht durch das europäische Recht der DSGVO verdrängt wird.
Der Inhalt im Überblick
- DSGVO-Bußgelder: Unternehmen mit „beschränkter Haftung“?
- DSGVO vs. OWiG: Unterschiede bei Haftung für Mitarbeiter
- DSK sieht Anwendungsvorrang von Art. 83 DSGVO
- Österreichischer VwGH: Rückgriff auf nationales Bußgeldrecht möglich
- LG Bonn sieht Anwendungsvorrang der DSGVO
- Aufassungen auf dem Prüfstand der Gerichte
DSGVO-Bußgelder: Unternehmen mit „beschränkter Haftung“?
Datenschutzverstöße nach der DSGVO werden durch nationale Aufsichtsbehörden mit Bußgeldern geahndet. Die Bußgeldbescheide sind dabei oftmals an die Unternehmen gerichtet. Diese können aber als juristische Personen nicht selbst handeln, sondern agieren im Wirtschaftsleben durch ihr Führungspersonal und ihre Mitarbeiter. Ein Unternehmen haftet grundsätzlich dann, wenn ein Mitarbeiter bei seiner beruflichen Tätigkeit gegen Datenschutzvorgaben verstößt und dieses Verhalten auch dem Unternehmen zuzurechnen ist. Doch muss ein Unternehmen für Fehler eines jeden Mitarbeiters geradestehen? Oder muss der Verstoß zumindest einer Führungskraft des Unternehmens unterlaufen sein?
DSGVO vs. OWiG: Unterschiede bei Haftung für Mitarbeiter
Um die Frage zur beantworten ist entscheidend, ob im Bußgeldverfahren ausschließlich die Vorgaben der DSGVO gelten oder ob auch nationale Regelungen wie das deutsche Bußgeldrecht anwendbar sind. In der DSGVO findet man dem Wortlaut nach keine konkreten Regelungen dazu, unter welchen Voraussetzungen einem Unternehmen das Fehlverhalten seiner Mitarbeiter zuzurechnen ist.
Anders ist es im deutschen Recht: Nach § 41 BDSG ist das Gesetz über Ordnungswidrigkeiten (OWiG) auf DSGVO-Bußgelder nach Art. 83 Abs. 4 bis 6 DSGVO anzuwenden, insbesondere § 30 OWiG und § 130 OWiG.
- Nach § 30 OWiG ist ein Bußgeld gegen ein Unternehmen nur möglich, wenn ein Organ oder ein Mitarbeiter in leitender Position des Unternehmens eine Straftat oder Ordnungswidrigkeit begangen hat und dadurch Pflichten des Unternehmens verletzt oder das Unternehmen bereichert wurde.
- Nach § 130 OWiG kann ein Bußgeld gegen ein Unternehmen nur dann verhängt werden, wenn der Inhaber oder ein Organ des Unternehmens schuldhaft Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um Verstöße gegen Straf- oder Bußgeldnormen zu verhindern und es infolgedessen zu einer Zuwiderhandlung gekommen ist, die durch Aufsichtsmaßnahmen zumindest wesentlich erschwert worden wäre.
Diese Regelungen folgen dem sog. „Rechtsträgerprinzip“ des deutschen Bußgeldverfahrensrechts. Danach haftet nur ein Rechtsträger, also zum Beispiel ein Unternehmen, dessen Organe oder Leitungspersonen schuldhaft handeln. Daher haftet nach § 41 BDSG, §§ 30, 130 OWiG ein Unternehmen für einen Verstoß seines Mitarbeiters nur dann, wenn dieser der Unternehmensleitung oder Führungsebene angehört. Zudem muss der Mitarbeiter den Verstoß selbst schuldhaft begehen oder zumindest eine eigene Aufsichtspflicht schuldhaft verletzen. Das Fehlverhalten eines einfachen Mitarbeiters ist dem Unternehmen nicht zurechenbar.
Die Rechtslage nach deutschen OWiG widerspricht dem Wortlaut des Art. 83 DSGVO zwar nicht. Sie setzt der Unternehmenshaftung für Datenschutzverstöße jedoch recht enge Grenzen. Das widerspricht in vielen Fällen der grundsätzlichen Zielsetzung von Art. 83 DSGVO, Unternehmen bei Datenschutzverstößen durch Bußgelder zu sanktionieren.
Daher stellt sich die Frage, ob Art. 83 DSGVO und die Erwägungen des EU-Gesetzgebers dazu führen, dass die nationalen Bußgeldregelungen – wie in Deutschland die §§ 30, 130 OWiG – grundsätzlich nicht anwendbar sind.
DSK sieht Anwendungsvorrang von Art. 83 DSGVO
Die deutschen Datenschutzaufsichtsbehörden und weite Fachkreise gehen davon aus, dass Art. 83 DSGVO als europäisches Recht die nationalen Bußgeldregelungen der §§ 30, 130 OWiG verdrängt (siehe DSK-Entschließung Nr. 97 vom 03.04.2019 „Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten“). Das Unternehmen soll für Datenschutzverstöße eines jeden Mitarbeiters haften, unabhängig davon, welche Funktion dieser im Unternehmen hat. Es komme auch nicht darauf an, ob die Unternehmensleitung Kenntnis von einem Verstoß habe oder ob eine Verletzung der Aufsichtspflicht vorliege. Ist ein Datenschutzverstoß unstrittig und objektiv festgestellt, sollen Aufsichtsbehörden nicht einmal ermitteln müssen, welcher konkrete Mitarbeiter gehandelt habe.
Lediglich bei einem sog. „Mitarbeiterexzess“, also einem bewussten Fehlverhalten des Mitarbeiters, der nicht dem unternehmerischen Aufgaben- und Tätigkeitsbereich zuzurechnen ist, haftet das Unternehmen nicht. Dieses Haftungsverständnis geht vom sog. „funktionalen Unternehmensbegriff“ des europäischen Primärrechts (Art. 101, 102 AEUV) und der europäischen Rechtshistorie aus. Danach wird – abgeleitet aus dem EU-Wettbewerbs- und Kartellrecht – ein Unternehmen als wirtschaftliche Haftungseinheit angesehen, anders als im deutschen Bußgeldverfahrensrecht, wonach nur der konkrete Rechtsträger, das jeweilige Unternehmen als juristische Person, für schuldhaftes Handeln seiner Organe oder seines Führungspersonals haftet. Mit Blick auf die Verweisung in § 41 BDSG haben die deutschen Datenschutzbehörden daher die Bundesgesetzgeber aufgefordert, die Regelungen der §§ 30, 130 OWiG klarstellend vom Anwendungsbereich des § 41 BDSG auszunehmen (siehe DSK-Entschließung Nr. 97 vom 03.04.2019).
Österreichischer VwGH: Rückgriff auf nationales Bußgeldrecht möglich
Ob Art. 83 DSGVO nationalem Bußgeldrecht vorgeht und dieses verdrängt, scheint dennoch nicht abschließend geklärt. So hat sich jüngst in diesem Jahr erstmalig ein oberstes Gericht eines EU-Mitgliedsstaates mit der Frage befasst: Der österreichische Verwaltungsgerichtshof (VwGH), das Höchstgericht der Verwaltungsgerichtsbarkeit der Alpenrepublik, hat entschieden, dass eine Geldbuße nach Art. 83 DSGVO voraussetzt, dass dem Unternehmen der Datenschutzverstoß wegen eines schuldhaften Verhaltens einer konkreten Leitungsperson zugerechnet werden kann. Dabei hält das Gericht trotz der Regelung des Art. 83 DSGVO die nationalen Bußgeldnormen – hier die aus Österreich – für anwendbar. Im Verfahren hatte die österreichische Datenschutzbehörde ein Bußgeld gegen ein Unternehmen wegen einer datenschutzrechtswidrigen Videoüberwachung verhängt, ohne den Verstoß eines konkreten Mitarbeiters zu ermitteln.
Die Behörde hatte argumentiert, nationale Regelungen, die Zurechnungsregelungen vorsahen (§ 30 Österreichisches Datenschutzgesetz) seien wegen Art. 83 DSGVO nicht anwendbar. Dies hat der VwGH anders gesehen. Unter anderem aus dem Grund, dass das Bußgeldverfahren der DSGVO nach Art. 83 Abs. 8 DSGVO ausdrücklich den Verfahrensgarantien des Rechts der Mitgliedsstaaten unterliege. Zudem hätten Bußgelder nach der DSGVO strafrechtlichen Charakter. Das lasse ein weites Haftungsverständnis – abgeleitet aus der EU-Rechtshistorie – ohne konkrete Zurechnung eines schuldhaften Mitarbeiterverstoßes nicht zu.
LG Bonn sieht Anwendungsvorrang der DSGVO
Anders sieht dies hierzulande das Landgericht Bonn. Das Gericht musste sich im Rahmen eines Bußgeldverfahrens gegen das Telekommunikationsunternehmen 1&1 unter anderem mit der Frage des Anwendungsvorrangs des Art. 83 DSGVO vor nationalem Bußgeldrecht befassen. In seinem Urteil vom 11.11.2020 geht das Landgericht von einem solchen Anwendungsvorrang aus. Es urteilte, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhänge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde.
Denn das nach Auffassung des Gerichts anwendbare europäische Recht stelle kein entsprechendes Erfordernis auf. Dabei berief sich das Landgericht auf das Funktionsträgerprinzip, wonach eine Haftung für sämtliche Beschäftigte bestehe. Es sei zwar derzeit strittig, so das Gericht, ob mit Blick auf Art. 83 Abs. 4 bis Abs. 6 DSGVO das kartellrechtliche Funktionsträgerprinzip oder das Rechtsträgerprinzip aus § 30 OWiG gelte. Entscheidend sei aber, dass § 41 Abs. 1 BDSG die Anwendung des OWiG in materiellrechtlicher Sicht nur „sinngemäß“ anordne. Darin sieht das Gericht den Willen des Gesetzgebers, dass der Anwendungsvorrang der DSGVO bestehen bleibe.
Aufassungen auf dem Prüfstand der Gerichte
Um zu klären, in welchem Umfang Unternehmen für Datenschutzverstöße ihrer Mitarbeiter haften, wird es entscheidend sein, das Verhältnis von DSGVO (Art. 83 DSGVO) und nationalen Bußgeldregelungen zu bestimmen. In Deutschland entscheidet die Frage der Anwendbarkeit von §§ 30, 130 OWiG darüber, ob Unternehmen das Fehlverhalten grundsätzlich jedes Mitarbeiters oder nur schuldhaftes Handeln ihrer Organe oder Leitungspersonen zuzurechnen ist. Gerichtlich ist diese Frage in Deutschland noch längst nicht abschließend entschieden. Es wird spannend bleiben zu verfolgen, wie die mit Bußgeldbescheiden der Datenschutzbehörden befassten Gerichte in Zukunft urteilen werden.