Alexa Finke, Anna-Lena Glander
Aktuell ungeklärt ist zunächst die grundlegende Frage, ob Unternehmen allein aufgrund eines Datenschutzverstoßes eines ihrer Mitarbeiter unmittelbar für diesen haften müssen (unmittelbare Verbandshaftung) – oder ob für eine Haftung weitere Voraussetzungen erfüllt worden sein müssen. Bisher existieren zu dieser Frage noch keine Entscheidung eines höchstinstanzlichen Gerichts oder eine gefestigte Rechtsprechung, sondern lediglich die nachfolgend dargestellten Entscheidungen des LG Bonn und des LG Berlin, in denen die Gerichte jeweils entgegengesetzte Rechtspositionen eingenommen haben:
Unmittelbare Verbandshaftung
Im November des Jahres 2020 entschied das LG Bonn, dass die DSGVO eine unmittelbare Unternehmenshaftung vorsehe. Ein Rückgriff auf das deutsche Ordnungswidrigkeitenrecht, insbesondere die Vorschriften der §§ 30, 130 OWiG, sei entbehrlich.
Das LG Bonn begründete seine Auffassung unter Hinzuziehung der Erwägungsgründe der DSGVO insbesondere damit, dass die Grundsätze des sogenannten supranationalen Kartellrechts heranzuziehen seien. Der europäische Gesetzgeber habe sich dieses bei der Schaffung der dem Verstoß zugrundeliegenden Vorschriften der DSGVO zum Vorbild genommen. Auch habe er mit der DSGVO insbesondere einheitliche sowie effektive Regelungen und Sanktionierungsmöglichkeiten von Datenschutzverstößen von Unternehmen schaffen wollen. Im europäischen Recht bestehe das "effet utile"-Prinzip, nach dem europäische Regelungen möglichst effektiv in den Mitgliedsstaaten umzusetzen seien; dies erfordere auch in Deutschland eine unmittelbare Verbandshaftung.
Diese Rechtsauffassung zugrunde gelegt, wäre es im Falle datenschutzrechtlicher Verstöße im Unternehmen für eine Sanktionierung der juristischen Person nicht (wie bei §§ 30, 130 OWiG) erforderlich, dass eine Leitungsperson einen Pflichtverstoß, ggf. in Gestalt einer Aufsichtspflichtverletzung, begangen hat. Anknüpfungspunkt der Sanktionierung bei der durch das Gericht befürworteten unmittelbaren Verbandshaftung ist lediglich der objektive Datenschutzverstoß, nicht die dafür ursächliche und schuldhafte Handlung eines Einzelnen. Nach dieser Auffassung ist für die Sanktionierung des Unternehmens mit einer Geldbuße ausreichend, dass irgendein Mitarbeiter auf jeder Ebene des Unternehmens den Verstoß begeht und der Verstoß konkret benannt wird. Eine Angabe oder Identifizierung, welcher Mitarbeiter den Datenschutzverstoß begangen hat, ist danach ebenso wenig erforderlich wie ein Schuldnachweis. Das Unternehmen haftet für Verstöße sämtlicher Mitarbeiter, auch ohne Aufsichtspflichtverletzung.
Verbandshaftung nur bei Datenschutzverstoß oder (Aufsichts-) Pflichtverletzung einer Leitungsperson
Nur kurze Zeit später, im Februar dieses Jahres, entschied das LG Berlin in dieser wichtigen Frage ausdrücklich entgegen der Auffassung des LGs Bonn. Nach dem LG Berlin seien die Voraussetzungen der Verhängung von Geldbußen gegen juristische Personen in der Vorschrift des § 30 OWiG normiert, die über § 41 Abs. 1 BDSG auch auf Verstöße gegen die DSGVO Anwendung fände. Nach dem deutschen Sanktionsregime könne nur eine natürliche Person eine Ordnungswidrigkeit vorwerfbar begehen. Eine unmittelbare Verbandshaftung stelle einen Widerspruch zu dem in Deutschland geltenden Rechtsstaatsprinzip des Art. 20 Abs. 3 GG, der allgemeinen Handlungsfreiheit sowie der grundgesetzlich verankerten Menschenwürde und dem aus diesen Vorschriften folgenden Schuldprinzip dar und werfe die Frage nach dem Bestimmtheitsgrundsatz (Art. 103 Abs. 2 GG) auf. Außerdem habe der europäische Verordnungsgeber keine Rechtsetzungskompetenz im Bereich des Strafrechts und der Verwaltungssanktionen, selbst wenn eine solche aus der DSGVO herauszulesen wäre.
Gemäß dieser Rechtsauffassung können einer juristischen Person lediglich betriebsbezogene Straftaten oder Ordnungswidrigkeiten ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Eine solche betriebsbezogene Ordnungswidrigkeit stellt auch ein Verstoß gegen die Vorschrift des § 130 OWiG dar, der Verstöße gegen die Pflichten von Führungspersonen zur Aufsicht, Auswahl und Überwachung der ihr untergeordneten Mitarbeiter sanktioniert. Damit ist auch im Falle einer Verfehlung eines Mitarbeiters unterhalb der Führungsebene, beispielsweise durch einen Datenschutzverstoß, ein Bußgeld gegen das Unternehmen möglich, wenn einer Leitungsperson fehlende Aufsicht oder Überwachung vorgeworfen werden kann. Es entspricht der heute wohl herrschenden Meinung, dass in diesen Fällen als Voraussetzung eines Bußgeldes neben der konkreten Tat beispielsweise auch die Person des nach § 130 OWiG Verantwortlichen, sowie ihre hierarchische Stellung im Unternehmen im Bußgeldbescheid benannt werden muss. Damit können Sanktionen nach dieser Auffassung nicht verhängt werden, soweit ausschließlich bekannt ist und dargelegt werden kann, dass irgendein Datenschutzverstoß in einem Unternehmen begangen wurde. Vielmehr müssten durch die Aufsichtsbehörde weitere Voraussetzungen nachgewiesen – u...