Zum Inhalt springen Zur Navigation springen
DSGVO-Bußgeld: Haften Unternehmen für Mitarbeiter?

DSGVO-Bußgeld: Haften Unternehmen für Mitarbeiter?

Artikel von Dr. Datenschutz·16. April 2024

Bußgelder wegen Verstößen gegen die DSGVO richten sich oft an Unternehmen, die für das rechtswidrige Handeln ihrer Mitarbeiter einstehen müssen. Kommt es dabei für die Haftung des Unternehmens darauf an, ob der Mitarbeiter Führungskraft oder Sachbearbeiter ist? Kann das Unternehmen selbst überhaupt haften? Und kommt es auf ein Verschulden an? Wenn ja, wie wird das zugerechnet? Fragen über Fragen, die in der Rechtswissenschaft zu einigem Meinungsstreit geführt haben. Der EuGH hat nun in einem Urteil zur Klärung beigetragen.

Grundsätzliches zum Konstrukt juristische Person

Unternehmen werden oft in Form einer juristischen Person geführt. Prominentes Beispiel ist die Gesellschaft mit beschränkter Haftung, also die GmbH. Eine GmbH ist – untechnisch gesprochen – wie ein ganz kleines Kind, das eigentlich noch nichts kann. Jemand anderes muss deshalb für juristische Personen handeln und trägt auch die Verantwortung.

Was hat das mit Datenschutz zu tun?

Nun, Datenschutzverstöße nach der DSGVO werden durch nationale Aufsichtsbehörden mit Bußgeldern geahndet. Die Bußgeldbescheide sind dabei oftmals an die Unternehmen gerichtet. Diese können aber als juristische Personen eben nicht selbst handeln, sondern agieren im Wirtschaftsleben durch ihr Führungspersonal und ihre Mitarbeiter. Ein Unternehmen haftet grundsätzlich dann, wenn ein Mitarbeiter bei seiner beruflichen Tätigkeit gegen Datenschutzvorgaben verstößt und dieses Verhalten auch dem Unternehmen zuzurechnen ist. Doch muss ein Unternehmen für Fehler eines jeden Mitarbeiters geradestehen? Oder muss der Verstoß zumindest einer Führungskraft des Unternehmens unterlaufen sein? Unter welchen Voraussetzungen kann eine Datenschutzsanktion gegenüber Unternehmen festgesetzt werden?

DSGVO vs. OWiG: Unterschiede bei Haftung für Mitarbeiter

Um diese Fragen beantworten zu können, kommt es darauf an, ob im Bußgeldverfahren ausschließlich die Vorgaben der DSGVO gelten oder ob auch nationale Regelungen, wie das deutsche Bußgeldrecht, anwendbar sind. Denn die DSGVO regelt nicht, wann die Verwirklichung eines Bußgeldtatbestands durch einen Mitarbeiter dem Unternehmen zugerechnet werden kann.

Anders ist das im (nationalen) deutschen Recht: Nach § 41 BDSG ist das Gesetz über Ordnungswidrigkeiten (OWiG) auf DSGVO-Bußgelder nach Art. 83 Abs. 4 bis 6 DSGVO anzuwenden, insbesondere § 30 OWiG und § 130 OWiG.

  • Nach § 30 OWiG ist ein Bußgeld gegen ein Unternehmen nur möglich, wenn ein Organ oder ein Mitarbeiter in leitender Position des Unternehmens eine Straftat oder Ordnungswidrigkeit begangen hat und dadurch Pflichten des Unternehmens verletzt oder das Unternehmen bereichert wurde.
  • Nach § 130 OWiG kann ein Bußgeld gegen ein Unternehmen nur dann verhängt werden, wenn der Inhaber oder ein Organ des Unternehmens schuldhaft Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um Verstöße gegen Straf- oder Bußgeldnormen zu verhindern und es infolgedessen zu einer Zuwiderhandlung gekommen ist, die durch Aufsichtsmaßnahmen zumindest wesentlich erschwert worden wäre.

Diese Regelungen folgen dem sog. „Rechtsträgerprinzip“ des deutschen Bußgeldverfahrensrechts. Danach haftet nur ein Rechtsträger, also zum Beispiel ein Unternehmen, dessen Organe oder Leitungspersonen schuldhaft handeln. Daher haftet nach § 41 BDSG, §§ 30, 130 OWiG ein Unternehmen für einen Verstoß seines Mitarbeiters nur dann, wenn dieser der Unternehmensleitung oder Führungsebene angehört. Zudem muss der Mitarbeiter den Verstoß selbst schuldhaft begehen oder zumindest eine eigene Aufsichtspflicht schuldhaft verletzen. Das Fehlverhalten eines einfachen Mitarbeiters ist dem Unternehmen nicht zurechenbar.

Die Rechtslage nach deutschen OWiG widerspricht dem Wortlaut des Art. 83 DSGVO zwar nicht. Sie setzt der Unternehmenshaftung für Datenschutzverstöße jedoch recht enge Grenzen. Das beißt sich mit der grundsätzlichen Zielsetzung von Art. 83 DSGVO, Unternehmen bei Datenschutzverstößen durch Bußgelder zu sanktionieren. Daher war bisher umstritten, ob Art. 83 DSGVO und die Erwägungen des EU-Gesetzgebers dazu führen, dass die nationalen Bußgeldregelungen – wie in Deutschland die §§ 30, 130 OWiG – grundsätzlich nicht anwendbar sind. Die beiden Positionen lassen sich anhand der folgenden Fälle gut nachvollziehen.

LG Bonn: Anwendungsvorrang der DSGVO im Bußgeldverfahren

Das Landgericht Bonn (LG) musste sich im Rahmen eines Bußgeldverfahrens gegen das Telekommunikationsunternehmen 1&1 unter anderem mit der Frage des Anwendungsvorrangs des Art. 83 DSGVO vor nationalem Bußgeldrecht befassen. In seinem Urteil vom 11.11.2020 ging das Landgericht von einem solchen aus. Es urteilte, dass die Verhängung eines Bußgelds gegen ein Unternehmen nicht davon abhinge, dass der konkrete Verstoß einer Leitungsperson des Unternehmens festgestellt werde.

Denn das nach Auffassung des Gerichts anwendbare europäische Recht stelle kein entsprechendes Erfordernis auf. Dabei berief sich das Landgericht auf das Funktionsträgerprinzip, wonach eine Haftung für sämtliche Beschäftigte bestehe. Es sei zwar derzeit strittig, so das Gericht, ob mit Blick auf Art. 83 Abs. 4 bis Abs. 6 DSGVO das kartellrechtliche Funktionsträgerprinzip oder das Rechtsträgerprinzip aus § 30 OWiG gelte. Entscheidend sei aber, dass § 41 Abs. 1 BDSG die Anwendung des OWiG in materiellrechtlicher Sicht nur „sinngemäß“ anordne. Darin sah das Gericht den Willen des Gesetzgebers, dass der Anwendungsvorrang der DSGVO bestehen bleibe.

Österreichischer VwGH und LG Berlin: Rückgriff auf nationales Bußgeldrecht

Auf der anderen Seite hatte sich schon 2019 ein oberstes Gericht eines EU-Mitgliedsstaates mit der Frage befasst, ob Art. 83 DSGVO nationalem Bußgeldrecht vorgehe. Der österreichische Verwaltungsgerichtshof (VwGH) hatte entschieden, dass eine Geldbuße nach Art. 83 DSGVO voraussetzt, dass dem Unternehmen der Datenschutzverstoß wegen eines schuldhaften Verhaltens einer konkreten Leitungsperson zugerechnet werden kann. Dabei hielt das Gericht trotz der Regelung des Art. 83 DSGVO die nationalen Bußgeldnormen – hier die aus Österreich – für anwendbar. Im Verfahren hatte die österreichische Datenschutzbehörde ein Bußgeld gegen ein Unternehmen wegen einer datenschutzrechtswidrigen Videoüberwachung verhängt, ohne den Verstoß eines konkreten Mitarbeiters zu ermitteln.

Eine ähnliche Auffassung vertrat auch das LG Berlin in seinem Beschluss am 18.02.2021 zum Rekordbußgeld von 14,5 Mio. Euro der BlnBDI gegen die Deutsche Wohnen:

„Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 DS-GVO sein. Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet.“

In der nächsten Instanz setzte das Kammergericht (KG) Berlin das Verfahren aus, fasst den Streit nochmal zusammen und legte dem EuGH mehrere Fragen dazu vor, wie sich Art. 83 Abs. 4 bis 6 DSGVO zum § 30 OWiG verhält und welche Form des Verschuldens für ein Bußgeld vorliegen müsse (Az.: 3 Ws 250/21).

Entscheidung des EuGH in Sachen Deutsche Wohnen

Der EuGH entschied Anfang Dezember 2023 in der Rechtssache Deutsche Wohnen (C‑807/21), dass die Bußgeldhaftung des Unternehmens nicht davon abhängt, ob zuvor der Verstoß einer natürlichen Person als Unternehmensvertreter festgestellt worden ist. Damit wurde insbesondere die Praxis der deutschen Datenschutzbehörden bestätigt (siehe DSK-Entschließung Nr. 97 vom 03.04.2019 „Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten“).

Um ein Bußgeld für einen feststehenden Verstoß zu verhängen, müsse nicht der konkrete Mitarbeiter im Unternehmen gefunden werden, der die Daten rechtswidrig verarbeitet hat. Es müsse sich auch nicht um einen Repräsentanten des Unternehmens im Sinne des § 30 OWiG gehandelt haben. Datenschutzbehörden können folglich auch dann Bußgelder gegen Unternehmen verhängen, wenn sie keine Ordnungswidrigkeit einer natürlichen Leitungsperson festgestellt haben.

Die Reichweite des Begriffs „Verantwortlicher“

Zunächst hat sich der EuGH gefragt, wie weit der Begriff des „Verantwortlichen“ geht. Die Verantwortung und Haftung erstreckt sich nach den Ausführungen im 74. EG der DSGVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In Art. 4 Nr. 7 DSGVO ist der Begriff „Verantwortlicher“ außerdem definiert als

„die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Welches Handeln wird dem Unternehmen zugerechnet?

Somit ergibt sich gemäß des Urteils des EuGH aus dem Wortlaut und dem Zweck von Art. 4 Nr. 7 DSGVO, dass der Unionsgesetzgeber bei der Bestimmung der Haftung nach der DSGVO nicht zwischen natürlichen und juristischen Personen unterschieden hat, da die einzige Voraussetzung für die Haftung darin besteht, dass diese Personen allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

In Bezug auf juristische Personen (also beispielsweise eine GmbH) bedeutet dies zum einen, dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. Der EuGH lehnt sich hier an die Ansicht der Aufsichtsbehörden an. Auf einen Verstoß einer zuvor identifizierten natürlichen Person kommt es demnach gar nicht an.

Da wird also ziemlich viel der verantwortlichen Stelle zugerechnet.

Gegen wen genau kann ein Bußgeld erlassen werden?

Die GmbH haftet also grundsätzlich einmal für jeden Verstoß, der im Rahmen der unternehmerischen Tätigkeit begangen wird und muss für jedes Handeln im Namen der GmbH geradestehen. Aber gegen wen muss sich das Bußgeld überhaupt richten? Eine Frage des Urteils lautet, ob und gegebenenfalls unter welchen Umständen das verantwortliche Unternehmen als juristische Person überhaupt Adressat des Bußgelds sein kann.

Der EuGH sagt dazu:

„Zum anderen muss es möglich sein, die in Art. 83 DSGVO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können.“

Es ist also möglich, direkt gegen das verantwortliche Unternehmen ein Bußgeld zu verhängen. Ist auch folgerichtig, denn eine natürliche identifizierte Person braucht es ja nicht. Also kann das Unternehmen selbst haften.

Können Bußgelder verschuldensunabhängig verhängt werden?

Wir wissen also, dass eine Geldbuße gegen eine juristische Person verhängt werden kann. Eine juristische Person kann aber selbst nicht handeln. Deshalb müssen Handlungen zugerechnet werden. Wie gesehen, wird nach dem Urteil des EuGH jedes Handeln zugerechnet, nicht nur jenes der Führungspersonen. Und noch vielmehr: Es muss gar keine konkret handelnde Person festgestellt werden.

Es stellt sich aber noch die Frage, ob eine zurechenbare Handlung vorsätzlich oder fahrlässig, also schuldhaft, erfolgen muss oder ob es allein auf einen zurechenbaren Verstoß ankommt, ohne dass man das Verschulden prüfen muss.

Der EuGH hat insoweit entschieden, dass die Datenschutzbehörden konkret feststellen müssen, dass der DSGVO-Verstoß schuldhaft begangen wurde. Erforderlich bleibt also der Nachweis, dass der vermeintliche Datenschutzverstoß vorsätzlich oder fahrlässig begangen wurde. Allerdings soll es für ein Verschulden ausreichen, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens „nicht im Unklaren sein konnte“. Dabei ist es egal, ob ihm dabei bewusst war, dass sein Verhalten gegen die Vorschriften der DSGVO verstößt. Für eine Geldbuße gegen eine juristische Person soll jetzt „keine Handlung“ und nicht einmal die „Kenntnis seitens des Managements“ erforderlich sein.

Zu den Voraussetzungen, unter denen ein Bußgeld erlassen werden kann, führt Art. 83 Abs. 2 DSGVO die Kriterien an, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Kriterien gehört nach Buchst. b dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Dagegen deutet keines der in der genannten Bestimmung aufgeführten Kriterien auf eine Möglichkeit hin, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen. Zudem lautet Art. 83 Abs. 3 DSGVO:

„Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.“

Daraus folgert der EuGH, dass Art. 83 DSGVO es nicht gestattet, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis Abs. 6 DSGVO genannten Verstoßes zu verhängen, ohne dass nachgewiesen ist, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist Voraussetzung für die Verhängung einer Geldbuße, dass der Verstoß schuldhaft begangen wurde:

„Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gem. Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt. Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt.“

Die DSGVO erlaubt laut EuGH also keine verschuldensunabhängige Bußgeldhaftung. Klingt erstmal gut für Unternehmen? Das wird teilweise nicht so gesehen:

„Die aus dem Kartellrecht stammenden Anforderung an das Verschulden [sind] derart streng, dass es sich für die Unternehmen um einen Pyrrhussieg handelt. Das zeigt auch die weite Bemessung von Bußgeldern. Deren Höhe richtet sich nach der Leistungsfähigkeit der juristischen Person als Unternehmenseinheit. Damit kann nicht auf eine kleine Tochtergesellschaft abgestellt werden; die Jahresumsätze eines Konzerns oder einer Unternehmensgruppe sind entscheidend.“

Für das Verschulden stellt der EuGH auf die juristische Person insgesamt als Verantwortliche ab. Es kommt darauf an, ob mindestens Fahrlässigkeit vorliegt. Zu fragen ist also, ob die juristische Person die Rechtswidrigkeit ihres Handelns erkennen konnte.

Wann haften Unternehmen nicht für Verstöße ihrer Mitarbeiter?

Nicht entschieden wurde, wann eine Haftung dennoch ausscheidet. Nach derzeitiger Auffassung soll ein Unternehmen lediglich bei einem sog. „Mitarbeiterexzess“ nicht haften. Darunter versteht man ein bewusstes Fehlverhalten des Mitarbeiters, der nicht dem unternehmerischen Aufgaben- und Tätigkeitsbereich zuzurechnen ist.

Es kann demnach vorkommen, dass sich ein Beschäftigter nicht an die vom Verantwortlichen Unternehmen festgelegten Verfahren hält und auf eigene Initiative unrechtmäßig die Daten von Kunden oder anderen Beschäftigten verarbeitet. Dies sind also jene Fälle, in denen Mitarbeiter eigenmächtig und außerhalb ihrer vertraglich festgelegten Tätigkeiten Datenschutzverstöße begehen.

„In einem solchen Fall handelt der unredlich handelnde Beschäftigte jedoch nicht im Auftrag und im Namen des Verantwortlichen.“ (Schlussanträge des Generalanwalts, Rechtssache C-579/21, Rn. 64)

Dieses weite Haftungsverständnis geht vom sog. „funktionalen Unternehmensbegriff“ des europäischen Primärrechts (Art. 101, 102 AEUV) und der europäischen Rechtshistorie aus. Danach wird – abgeleitet aus dem EU-Wettbewerbs- und Kartellrecht – ein Unternehmen als wirtschaftliche Haftungseinheit angesehen.

DSGVO-Bußgelder richten sich oft gegen Unternehmen

Nach alledem sagt der EuGH, dass Art. 83 DSGVO dahin auszulegen ist, dass ein Bußgeld unmittelbar gegen juristische Personen wie Unternehmen verhängt werden kann, wenn diese als für die Datenverarbeitung Verantwortliche einzustufen sind und einen der in Art. 83 Abs. 4 – Abs. 6 DSGVO genannten Verstöße vorsätzlich oder fahrlässig begangen hat.

Einerseits weitet der EuGH damit die Zurechnung eines Datenschutzverstoßes aus, andererseits stellt er aber klar, dass Vorsatz oder Fahrlässigkeit Voraussetzung für ein Bußgeld ist. Die Sache wurde nun an das Landgericht Berlin zurückgegeben. Dort wird unter der Rechtsauffassung des EuGH erneut über den Bußgeldbescheid der BlnBDI gegen die Deutsche Wohnen entschieden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.