array(2) { [0]=> string(13) "Open Sans:600" [1]=> string(5) "Arial" }
Open Sans:600
Arial
Haftung von Geschäftsführern und Vorständen für Datenschutzverstöße - Rechts- und Patentanwälte
Haftung von Geschäftsführern und Vorständen für Datenschutzverstöße
tmpimageup_tK6Nvd

Verteidigungsstrategien für Bußgelder des Art. 83 DSGVO nach aktueller Rechtsprechung

Zwei deutsche Landgerichte haben im Zusammenhang mit der Verhängung von Geldbußen nach Art. 83 DSGVO Entscheidungen gefällt, die sich mit DSGVO-Bußgeldern und Verteidigungsmöglichkeiten hiergegen befassen. Wir zeigen Ihnen auf, wie Sie Ihr Unternehmen in der Konsequenz sicher gegen Maßnahmen von Datenschutzbehörden verteidigen können. 

Bußgelder nach der DSGVO

Art. 83 Abs. 4 bis 6 DSGVO sieht vor, dass bei Verstößen gegen die Bestimmungen der DSGVO Geldbußen auch gegen ein Unternehmen verhängt werden können.

Das LG Bonn (Urt. v. 11.11.2020 Az. OWi 1/20) entschied in der Folge zu einem Bußgeldbescheid, dass Gegenstand der Sanktionierung der Datenschutzverstoß per se sei und nicht die dem zugrunde liegenden konkreten Handlungen natürlicher Personen. Hieraus folgt eine unmittelbare Verantwortlichkeit des Unternehmens.

Widersprüche in der deutschen Rechtsprechung

Im deutschen Recht gibt es grundsätzlich bis auf wenige Ausnahmen kein echtes Unternehmensstrafrecht. Auch bei der Verhängung von Bußgeldern gelten das Schuld- und Verantwortungsprinzip.

Der strafrechtliche Sanktionsanspruch des Staates muss in der Regel an ein konkretes Verhalten einer natürlichen Person, also an das eines Menschen, geknüpft sein. Dieses Verhalten muss sich ein Unternehmen – wie im Zivilrecht – unter Umständen zurechnen lassen. Auch dort gilt: Juristische Personen können selbst nicht handeln, sondern werden durch ihre Organe tätig.

Nach §§ 30, 130 OWiG können Geldbußen allenfalls gegen juristische Personen verhängt werden, wenn eine Leitungsperson eine Straftat oder eine Ordnungswidrigkeit begangen hat. 

Das Landgericht Berlin zog gerade diese Grundsätze für die Zurechnung von Verstößen gegen die DSGVO heran (LG Berlin, Beschluss vom 18.02.2021, Az. 526 OWi LG 212 Js-OWi 1/20 (1/20)). Bußgelder könnten einem Unternehmen nur dann auferlegt werden, wenn hinreichend bestimmt sei, wer welchen Verstoß schuldhaft begangen habe.

Bei beiden Entscheidungen handelt es sich um erstinstanzliche Urteile. Höchstrichterliche Rechtsprechung zu diesem Thema existiert bislang nicht. Eine finale Aufklärung des Streits dürfte mit Blick auf die europarechtliche Prägung durch den EuGH erst in ferner Zukunft zu erwarten sein. Zwar spricht nach wie vor viel für eine Anknüpfung an eine vorwerfbare Handlung. Um Rechtssicherheit zu schaffen, ist es allerdings bereits jetzt wichtig beide Alternativen in der Organisation eines Unternehmens zu berücksichtigen.

Verteidigung Ihres Unternehmens

Die beiden Entscheidungen verdeutlichen, wie wichtig eine enge Zusammenarbeit mit Expert*innen für Datenschutzrecht ist.

Insbesondere die Datenschutzbehörden folgen aktuell einem funktionalen Unternehmensbegriff, sodass zunächst eine Verantwortlichkeit für jeden Datenschutzverstoß, unabhängig von der zugrunde liegenden Handlung, vorwerfbar wäre.

Folglich sollten Sie in prozessualer Hinsicht folgende Verteidigungsmöglichkeiten vollumfänglich ausschöpfen:

  • Lassen Sie überprüfen, ob Ihnen ein Auskunftsverweigerungsrecht zusteht. Niemand ist verpflichtet, sich selbst einer Straftat bzw. Ordnungswidrigkeit zu bezichtigen.
  • Stellen Sie fest, ob die Behörde überhaupt genügend Anhaltspunkte für einen schuldhaften Verstoß hat.
  • Prüfen Sie, welcher Rechtsauffassung das Gericht ist, bei welchem sich gegen den Bußgeldbescheid gewendet werden soll.
  • Bereiten Sie Beweismittel vor.

Präventiv sollten Sie natürlich dafür Sorge tragen, dass Sie die oft undurchsichtigen Vorgaben der DSGVO einhalten. Ein umfassendes Datenschutzmanagement kann sich trotz einigem Implementierungsaufwand als durchaus rentabel herausstellen.

Richten Sie Ihre Datenschutzstrukturen hierbei an den Anforderungen von §§ 30, 130 OWiG aus, denn auch ohne Beteiligung von leitenden Mitarbeitern oder Geschäftsführung erfolgt eine Zurechnung von Fehlverhaltensweisen in der Praxis über eine fehlerhafte Aufsichtsführung gem. § 130 OWiG. 

Fazit

Häufig kann ein langwieriger und kostspieliger Rechtsstreit gegen Datenschutzbehörden bereits durch ein professionelles Datenschutzkonzept vermieden werden. Sollte es im Einzelfall bereits zu einem Bußgeld gekommen sein, sind die Verteidigungsaussichten gegen dieses aber oft aussichtsreich. Gerne prüfen wir Ihr Datenschutzkonzept und ermitteln im Streitfall die beste Verteidigungsstrategie. Sprechen Sie uns gerne hierzu an.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189

MENU