Alexa Finke, Anna-Lena Glander
Sofern die Datenschutzaufsichtsbehörden aufgrund von Beschwerden Betroffener, anderweitiger Meldungen oder durch etwaige Stichproben Kenntnis von einem Datenschutzverstoß erlangt haben, können sie weitere Ermittlungen und Untersuchungen, wie Datenschutzüberprüfungen, anstrengen. Beispielsweise können sie das betroffene Unternehmen anweisen, Informationen zu dem vermeintlichen Verstoß und der Datenverarbeitung bereitzustellen oder Zugang zu den entsprechenden Daten zu schaffen.
Ergeben die durch die Behörde durchgeführten Ermittlungen, dass ein Datenschutzverstoß tatsächlich passiert ist, kann die Behörde gemäß ihren in Art. 58 DSGVO normierten Befugnissen das Unternehmen auf diesen hinweisen, oder dieses (vorab) warnen beziehungsweise verwarnen. Auch kann sie diverse Weisungen und Anordnungen gegenüber dem Unternehmen aussprechen.
Anstelle von oder auch zusätzlich zu diesen Möglichkeiten kann die Aufsichtsbehörde im Einzelfall als ultima ratio auch eine Geldbuße gemäß Art. 83 DSGVO gegen das Unternehmen, bei dem ein Datenschutzverstoß eingetreten ist, verhängen. Die Verhängung eines Bußgeldes hat von allen möglichen behördlichen Maßnahmen den größten Sanktionierungsgehalt und die – wirtschaftlich – weitreichendsten Folgen für das betroffene Unternehmen. Dennoch haben die jeweils zuständigen Aufsichtsbehörden in den genannten öffentlichkeitswirksamen Fällen entsprechende Bußgelder als erforderlich erachtet und diese verhängt.
In Zusammenhang mit den Voraussetzungen von Bußgeldern sowie der Verteidigung gegen diese bestehen jedoch noch diverse rechtliche Diskussionen. So besteht zum einen keine Einigkeit darüber, ob sich aus der DSGVO bei einem objektiven Datenschutzverstoß eine unmittelbare Haftung des Unternehmens entnehmen lässt (hierzu nachfolgend unter 3.1.1). Zum anderen bereitet die Bestimmung der angemessenen Höhe des Bußgeldes Schwierigkeiten (hierzu nachfolgend unter 3.1.2):
3.1.1 (Un-) Mittelbare Verbandshaftung?
Aktuell ungeklärt ist zunächst die grundlegende Frage, ob Unternehmen allein aufgrund eines Datenschutzverstoßes eines ihrer Mitarbeiter unmittelbar für diesen haften müssen (unmittelbare Verbandshaftung) – oder ob für eine Haftung weitere Voraussetzungen erfüllt worden sein müssen. Bisher existieren zu dieser Frage noch keine Entscheidung eines höchstinstanzlichen Gerichts oder eine gefestigte Rechtsprechung, sondern lediglich die nachfolgend dargestellten Entscheidungen des LG Bonn und des LG Berlin, in denen die Gerichte jeweils entgegengesetzte Rechtspositionen eingenommen haben:
Unmittelbare Verbandshaftung
Im November des Jahres 2020 entschied das LG Bonn, dass die DSGVO eine unmittelbare Unternehmenshaftung vorsehe. Ein Rückgriff auf das deutsche Ordnungswidrigkeitenrecht, insbesondere die Vorschriften der §§ 30, 130 OWiG, sei entbehrlich.
Das LG Bonn begründete seine Auffassung unter Hinzuziehung der Erwägungsgründe der DSGVO insbesondere damit, dass die Grundsätze des sogenannten supranationalen Kartellrechts heranzuziehen seien. Der europäische Gesetzgeber habe sich dieses bei der Schaffung der dem Verstoß zugrundeliegenden Vorschriften der DSGVO zum Vorbild genommen. Auch habe er mit der DSGVO insbesondere einheitliche sowie effektive Regelungen und Sanktionierungsmöglichkeiten von Datenschutzverstößen von Unternehmen schaffen wollen. Im europäischen Recht bestehe das "effet utile"-Prinzip, nach dem europäische Regelungen möglichst effektiv in den Mitgliedsstaaten umzusetzen seien; dies erfordere auch in Deutschland eine unmittelbare Verbandshaftung.
Diese Rechtsauffassung zugrunde gelegt, wäre es im Falle datenschutzrechtlicher Verstöße im Unternehmen für eine Sanktionierung der juristischen Person nicht (wie bei §§ 30, 130 OWiG) erforderlich, dass eine Leitungsperson einen Pflichtverstoß, ggf. in Gestalt einer Aufsichtspflichtverletzung, begangen hat. Anknüpfungspunkt der Sanktionierung bei der durch das Gericht befürworteten unmittelbaren Verbandshaftung ist lediglich der objektive Datenschutzverstoß, nicht die dafür ursächliche und schuldhafte Handlung eines Einzelnen. Nach dieser Auffassung ist für die Sanktionierung des Unternehmens mit einer Geldbuße ausreichend, dass irgendein Mitarbeiter auf jeder Ebene des Unternehmens den Verstoß begeht und der Verstoß konkret benannt wird. Eine Angabe oder Identifizierung, welcher Mitarbeiter den Datenschutzverstoß begangen hat, ist danach ebenso wenig erforderlich wie ein Schuldnachweis. Das Unternehmen haftet für Verstöße sämtlicher Mitarbeiter, auch ohne Aufsichtspflichtverletzung.
Verbandshaftung nur bei Datenschutzverstoß oder (Aufsichts-) Pflichtverletzung einer Leitungsperson
Nur kurze Zeit später, im Februar dieses Jahres, entschied das LG Berlin in dieser wichtigen Frage ausdrücklich entgegen der Auffassung des LGs Bonn. Nach dem LG Berlin seien die Voraussetzungen der Verhängung von Geldbußen gegen juristische Personen in der Vorschrift des § 30 OWiG normiert, die über § 41 Abs. 1 BDSG auch auf Verstöße gegen die DSGVO Anwendung fände. Nach dem deutschen Sanktionsreg...