Anna-Lena Glander, Julian Rosenfeld
Sofern die Datenschutzaufsichtsbehörden aufgrund von Beschwerden Betroffener, Hinweisgebermeldungen, anderweitiger Hinweise oder durch etwaige Stichproben Kenntnis von einem Datenschutzverstoß erlangt haben, können sie weitere Ermittlungen und Untersuchungen, wie Datenschutzüberprüfungen, anstrengen. Beispielsweise können sie das betroffene Unternehmen anweisen, Informationen zu dem vermeintlichen Verstoß und der Datenverarbeitung bereitzustellen oder Zugang zu den entsprechenden Daten zu schaffen.
Ergeben die durch die Behörde durchgeführten Ermittlungen, dass ein Datenschutzverstoß tatsächlich passiert ist, kann die Behörde gemäß ihren in Art. 58 DSGVO normierten Befugnissen das Unternehmen auf diesen hinweisen, oder dieses (vorab) warnen beziehungsweise verwarnen. Auch kann sie diverse Weisungen und Anordnungen gegenüber dem Unternehmen aussprechen.
Anstelle von oder auch zusätzlich zu diesen Möglichkeiten kann die Aufsichtsbehörde im Einzelfall als ultima ratio auch eine Geldbuße gemäß Art. 83 DSGVO gegen das Unternehmen, bei dem ein Datenschutzverstoß eingetreten ist, verhängen. Die Verhängung eines Bußgeldes hat von allen möglichen behördlichen Maßnahmen den größten Sanktionierungsgehalt und die – wirtschaftlich – weitreichendsten Folgen für das betroffene Unternehmen. Dennoch erachten die jeweils zuständigen Aufsichtsbehörden insbesondere in öffentlichkeitswirksamen Fällen entsprechende Bußgelder oftmals als erforderlich, sodass solche bereits vielfach verhängt wurden.
Zwar wurden nach Inkrafttreten der DSGVO zunächst verschiedene rechtliche Diskussionen, beispielsweise in Zusammenhang mit den Voraussetzungen von Bußgeldern sowie der Verteidigung gegen diese, geführt. So bestand lange Zeit zum einen keine Einigkeit darüber, ob sich aus der DSGVO bei einem objektiven Datenschutzverstoß eine unmittelbare Haftung des Unternehmens entnehmen lässt (hierzu nachfolgend unter 3.1.1). Zum anderen bereitete die Bestimmung der angemessenen Höhe des Bußgeldes Schwierigkeiten (hierzu nachfolgend unter 3.1.2). Diese Themen dürften durch die inzwischen erfolgte Rechtsprechung jedoch inzwischen weitestgehend geklärt sein:
3.1.1 (Un-) Mittelbare Verbandshaftung?
Äußerst umstritten war zunächst die grundlegende Frage, ob Unternehmen allein aufgrund eines Datenschutzverstoßes eines ihrer Mitarbeitenden unmittelbar für diesen haften müssen (unmittelbare Verbandshaftung) – oder ob für eine Haftung weitere Voraussetzungen erfüllt worden sein müssen. Wie zugleich gezeigt wird, hat der EuGH nunmehr über diese Frage entschieden, in Bezug auf die zuvor das LG Bonn und das LG Berlin die entgegengesetzten und im Folgenden dargestellten Rechtspositionen vertreten haben:
LG Bonn: Unmittelbare Verbandshaftung
Im November des Jahres 2020 entschied das LG Bonn, dass die DSGVO eine unmittelbare Unternehmenshaftung vorsehe. Ein Rückgriff auf das deutsche Ordnungswidrigkeitenrecht, insbesondere die Vorschriften der §§ 30, 130 OWiG, sei entbehrlich.
Das LG Bonn begründete seine Auffassung unter Hinzuziehung der Erwägungsgründe der DSGVO insbesondere damit, dass die Grundsätze des sogenannten supranationalen Kartellrechts heranzuziehen seien. Der europäische Gesetzgeber habe sich dieses bei der Schaffung der dem Verstoß zugrundeliegenden Vorschriften der DSGVO zum Vorbild genommen. Auch habe er mit der DSGVO insbesondere einheitliche sowie effektive Regelungen und Sanktionierungsmöglichkeiten von Datenschutzverstößen von Unternehmen schaffen wollen. Im europäischen Recht bestehe das "effet utile"-Prinzip, nach dem europäische Regelungen möglichst effektiv in den Mitgliedsstaaten umzusetzen seien; dies erfordere auch in Deutschland eine unmittelbare Verbandshaftung.
Diese Rechtsauffassung zugrunde gelegt, wäre es im Falle datenschutzrechtlicher Verstöße im Unternehmen für eine Sanktionierung der juristischen Person nicht (wie bei §§ 30, 130 OWiG) erforderlich, dass eine Leitungsperson einen Pflichtverstoß, ggf. in Gestalt einer Aufsichtspflichtverletzung, begangen hat. Anknüpfungspunkt der Sanktionierung bei der durch das Gericht befürworteten unmittelbaren Verbandshaftung ist lediglich der objektive Datenschutzverstoß, nicht die dafür ursächliche und schuldhafte Handlung eines Einzelnen. Nach dieser Auffassung ist für die Sanktionierung des Unternehmens mit einer Geldbuße ausreichend, dass irgendein Mitarbeiter auf jeder Ebene des Unternehmens den Verstoß begeht und der Verstoß konkret benannt wird. Eine Angabe oder Identifizierung, welcher Mitarbeiter den Datenschutzverstoß begangen hat, ist danach ebenso wenig erforderlich wie ein Schuldnachweis. Das Unternehmen haftet für Verstöße sämtlicher Mitarbeiter, auch ohne Aufsichtspflichtverletzung.
LG Berlin: Verbandshaftung nur bei Datenschutzverstoß oder (Aufsichts-) Pflichtverletzung einer Leitungsperson
Nur kurze Zeit später, im Februar 2021, entschied das LG Berlin in dieser wichtigen Frage ausdrücklich entgegen der Auffassung des LGs Bonn. Nach dem LG Berlin seien die Voraussetzungen der Verhängung von Geldbußen gegen juris...