Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

01. Juni 2021

Geldbußen nach der DSGVO auf dem Prüfstand

Liefern sich die Datenschutzaufsichtsbehörden gerade einen Wettlauf um die höchste Geldbuße?
Bild: iStock.com / tomograf
3,00 (2)
Meinungsverschiedenheit zwischen den Gerichten
Das Landgericht Bonn reduziert eine DSGVO-Geldbuße gegen 1&1 von 9.550.000 € auf 900.000 €. Das Landgericht Berlin kassiert eine Millionen-Geldbuße der Berliner Datenschutzaufsicht gegen das Unternehmen Deutsche Wohnen gleich ganz. Wie ist das einzusortieren?

Wollen sich die Datenschutzaufsichtsbehörden bei der Höhe von Geldbußen gegenseitig übertreffen? Die Aufsichtsbehörde Hamburg verhängte gegen das Unternehmen H&M eine Geldbuße von 35.258.708 € (siehe https://ogy.de/pm-hm-verfahren). Das Unternehmen akzeptierte die Geldbuße und zahlte. Ebenso verhielt sich die AOK Baden-Württemberg nach einer Geldbuße der Datenschutzaufsicht Baden-Württemberg über 1.240.000 € (siehe hierzu die Pressemitteilung der Behörde unter https://ogy.de/pm-aok-bw).

Warum sind H&M und die AOK eingeknickt?

Da die Unternehmen zahlten, kam es in beiden Fällen nicht zu einem gerichtlichen Verfahren. So bleibt leider offen, wie ein unabhängiges Gericht den Sachverhalt und die Höhe der Geldbuße jeweils beurteilt hätte.

Ist der Schluss erlaubt, dass die Geldbußen aus Sicht der betroffenen Unternehmen rechtlich in Ordnung waren? Ganz sicher nicht! Es kann ohne Weiteres sein, dass sie die Geldbußen für ungerecht hielten, aber trotzdem nichts unternahmen. Naheliegendes Motiv: Sorge vor negativer öffentlicher Aufmerksamkeit durch ein langes Gerichtsverfahren.

1&1: Eine um 90 % geschrumpfte Geldbuße

Umso mehr Beachtung verdienen zwei Fälle, in denen sich Unternehmen gegen hohe Geldbußen vor Gericht wehrten. Der Telekommunikationsanbieter 1&1 erreichte, dass das Landgericht Bonn eine Geldbuße des Bundesbeauftragten für den Datenschutz im Ergebnis um über 90 % reduzierte. Das Urteil des Landgerichts vom 11.11.2020 ist auf www.datenschutz-praxis.de ausführlich analysiert: https://ogy.de/dp-geldbusse-schrumpft. Es ist inzwischen rechtskräftig.

Deutsche Wohnen: Sieg vor Gericht noch unsicher

Darin liegt ein wichtiger Unterschied zu dem Erfolg, den das Unternehmen Deutsche Wohnen beim Landgericht Berlin erzielt hat. Zwar hat das Gericht die Einstellung des Verfahrens verfügt (siehe https://ogy.de/lg-berlin-deutsche-wohnen). Dagegen hat die Staatsanwaltschaft Berlin allerdings im Einvernehmen mit der Datenschutzaufsicht Beschwerde eingelegt (siehe https://ogy.de/pm-BlnBDI-deutsche-wohnen).

Update Januar 2022: Mittlerweile liegt der Fall beim Europäischen Gerichtshof. Das Verfahren, für das derzeit das Kammergericht Berlin zuständig ist, ist daher derzeit ausgesetzt. Das Kammergericht hat dem EuGH einige rechtliche Fragen zur Klärung vorgelegt.

Damit ist rechtlich gesehen noch alles offen. Sollte die Beschwerde erfolgreich sein, könnte für das Unternehmen das Sprichwort gelten „Wie gewonnen, so zerronnen!“.

 

Wichtig
Art. 83 DSGVO – eine noch neue Vorschrift

Es greift zu kurz, auf solche Gerichtsverfahren die Maßstäbe sportlicher Wettkämpfe anzuwenden. Auf Dauer ist weniger von Interesse, wer jeweils „gewonnen“ hat. Von allgemeiner Bedeutung ist vielmehr die Frage, an welchen rechtlichen Hürden eine Geldbuße vollständig oder jedenfalls der Höhe nach gescheitert ist. Art. 83 Datenschutz-Grundverordnung (DSGVO) als Grundlage für Geldbußen wurde in diesen Tagen gerade einmal drei Jahre alt. Es wundert nicht, dass bei einer so neuen Vorschrift vieles schlicht noch unklar ist.

Diskussionspunkt 1: Ist der Bußgeldkatalog der Aufsichtsbehörden einfach irrelevant?

Zwei Aspekte stehen derzeit im Vordergrund der Diskussion um die Geldbußen nach der DSGVO. Zunächst ist offen, ob der „Bußgeldkatalog“ der Aufsichtsbehörden für den Datenschutz irgendeine rechtliche Relevanz hat. Er ist hier zu finden: https://ogy.de/bussgeldkonzept-dsk. Das Landgericht Bonn sah sich in keiner Weise an das Konzept gebunden (siehe dazu ebenfalls die Analyse unter https://ogy.de/dp-geldbusse-schrumpft).

Diskussionspunkt 2: Ist ein individueller Pflichtenverstoß nötig oder nicht?

Die folgende Darstellung konzentriert sich auf den zweiten wichtigen Aspekt:

  • Kann eine Aufsichtsbehörde gegen ein Unternehmen schon dann eine Geldbuße verhängen, wenn sie nachgewiesen hat, dass im Unternehmen Datenschutzvorschriften verletzt wurden?
  • Oder ist eine Geldbuße nur möglich, wenn die Aufsichtsbehörde zusätzlich belegt, welcher konkrete Funktionsträger im Unternehmen dabei gegen seine Pflichten verstoßen hat?

Konsequenzen für die Ermittlungen der Aufsichtsbehörde

Beide Ansätze führen zu völlig unterschiedlichen Anforderungen an die Ermittlungen der Aufsichtsbehörde:

  • Beim ersten Ansatz genügt beispielsweise der Nachweis, dass Daten nicht gelöscht wurden, obwohl dies nach den Vorgaben der DSGVO erforderlich gewesen wäre.
  • Beim zweiten Ansatz ist mit diesem Nachweis allein noch nichts anzufangen. Zusätzlich müsste die Aufsichtsbehörde belegen, welcher konkrete Funktionsträger im Unternehmen fahrlässig oder sogar vorsätzlich seine Pflicht verletzt hat, für eine solche Löschung zu sorgen.

Geschäftsführer haften nicht für alles persönlich!

Dabei genügt es nicht etwa, dass die Aufsichtsbehörde nach dem Motto argumentiert „Geschäftsführer oder Vorstandsvorsitzender sind immer verantwortlich“. Denn gerade in großen Unternehmen sind die Verantwortlichkeiten intern in vielfacher Weise aufgeteilt.

So wäre z.B. denkbar, dass der Geschäftsführer die Rechtsabteilung damit beauftragt hat, die Löschungspflichten der DSGVO zu analysieren, und die IT-Abteilung damit, die Analyse der Rechtsabteilung in ein Löschungskonzept umzusetzen. Damit hätte der Geschäftsführer in der Regel seine Pflichten auch dann erfüllt, wenn das Löschungskonzept Mängel aufweist. Für eine Geldbuße gegen ihn wäre somit kein Raum.

Das Beispiel Löschung von Daten

Genau um das Thema „Löschung“ ging es in dem Verfahren vor dem Landgericht Berlin. Die Datenschutzaufsicht beanstandete, dass die Deutsche Wohnen personenbezogene Daten von Mieterinnen und Mietern nicht gelöscht hatte, obwohl dies rechtlich vorgeschrieben war.

Sie forschte jedoch nicht weiter nach, warum es zu dieser Situation gekommen war. Die Aufsichtsbehörde ermittelte nicht, welche Personen im Unternehmen dafür zuständig waren, die Löschung durchzuführen. Sie stellte nicht fest, wie die interne Organisationsstruktur des Unternehmens gestaltet war. Dennoch verhängte sie eine Geldbuße gegen das Unternehmen.

Kann ein Unternehmen vorsätzlich handeln?

In ihrem Bescheid an die Deutsche Wohnen ging die Aufsichtsbehörde davon aus, dass „das Unternehmen“ als solches vorsätzlich gehandelt habe. Die Datenschutzaufsicht liest Art. 83 DSGVO so, dass eine Geldbuße gegenüber einem Unternehmen schon dann möglich ist, wenn dort gegen die DSGVO verstoßen wurde.

Das Landgericht Berlin verlangt dagegen zusätzlich den Nachweis, dass eine konkrete Person innerhalb des Unternehmens die Datenschutz-Grundverordnung schuldhaft verletzt hat. Erst dann könne man darüber reden, ob dieses schuldhafte Verhalten dem Unternehmen zuzurechnen ist. Nur unter dieser Voraussetzung käme eine Geldbuße gegen das Unternehmen in Betracht.

Die Gerichte sind uneins

Welche Auffassung trifft zu? Das Landgericht Bonn hatte in dem oben genannten Verfahren wegen 1&1 keine Bedenken, ein schuldhaftes Verhalten eines Unternehmens für möglich zu halten. Es verlangte also gerade nicht den Nachweis, welche Person innerhalb des Unternehmens schuldhaft etwas falsch gemacht hat. Nach seiner Auffassung kann ein Unternehmen selbst als Täter anzusehen sein, der schuldhaft handelt.

Das Landgericht Berlin sieht dies anders. Nach seiner Auffassung kann von einem schuldhaften Verhalten nur die Rede sein, wenn der Täter sich bewusst dafür oder dagegen entscheiden kann, den rechtlichen Vorgaben zu folgen. Solche Entscheidungen können nur einzelne Personen treffen, nicht Unternehmen als Ganzes.

Anderes Gericht, anderes Ergebnis

Selbstverständlich haben beide Gerichte ihre jeweilige Auffassung detailliert begründet. Aber gleich wie: Hätte das Berliner Verfahren beim Landgericht Bonn stattgefunden, wäre es mit Sicherheit nicht eingestellt worden. Ob das Landgericht Bonn auch die Höhe der Geldbuße akzeptiert hätte, ist jedoch eine ganz andere Frage.

Eine schwierige Situation für alle Unternehmen

Irgendwann, hoffentlich bald, wird die rechtliche Streitfrage beim Europäischen Gerichtshof (EuGH) landen. Er wird dann verbindlich festlegen, welcher der beiden Auffassungen zu folgen ist. Bis dahin hängen sowohl Datenschutzaufsichtsbehörden als auch Unternehmen in der Luft.

Achtung
Für Unternehmen ist dies keine schöne Situation. Um ein ähnliches Desaster wie beim Landgericht Berlin zu vermeiden, werden die Aufsichtsbehörden künftig vor einer Geldbuße die Organisationsstrukturen in Unternehmen genau ausleuchten. Instrumente hierfür sind umfangreiche Fragenkataloge. Sie zwingen das Unternehmen zu ausführlichen Stellungnahmen.

Bei solchen „Ausfrageaktionen“ können sich schnell Anhaltspunkte für weitere Datenschutzverstöße ergeben. Dieses Risiko von Zufallsfunden – ein rechtlicher Fachbegriff für solche Situationen! – wird oft unterschätzt. Vor diesem Hintergrund wäre es verfehlt, die Entscheidungen der beiden Gerichte in simple Kategorien wie unternehmensfreundlich/weniger unternehmensfreundlich einzusortieren.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.