Aktuell in der CR

Zur Sanktionierung von Datenschutzverstößen von Unternehmen (Drewes/Walchner, CR 2023, 163)

Die Datenschutzkonferenz (DSK) hat eine Stellungnahme zur Sanktionierung von Datenschutzverstößen von Unternehmen kurz vor einer mündlichen Verhandlung des EuGH zu dieser Fragestellung veröffentlicht und darin die Sichtweise der deutschen Aufsichtsbehörden zu den aufgeworfenen Fragen zusammengestellt (DSK-Stellungnahme). Diese Positionierung soll nicht unwidersprochen bleiben, zumal die Aufsichtsbehörden in dieser Verteidigungsschrift zahlreiche in der Literatur und der Rechtsprechung angeführte Bedenken ignorieren.

DSK locuta – causa finita?

Im Kern geht es um zwei Fragestellungen, die nachfolgend ausführlich behandelt werden: Richtet sich die Verhängung eines Bußgeldes gegen Unternehmen nach den Regelungen des OWiG oder greift hier ein eigenes Sanktionsregime der DSGVO? Gibt es nach der DSGVO eine Verschuldensvermutung zu Lasten von Unternehmen im Fall eines DSGVO-Verstoßes, so dass Verantwortliche nachweisen müssen, dass sie kein Verschulden trifft?

INHALTSVERZEICHNIS:

I. DSK-Stellungnahme

1. Gerichtliches Beschwerdeverfahren gegen Bußgeldbescheid der BlnBfDI

2. Zusammenfassung und Methodik der DSK-Stellungnahme

II. Bisherige Bewertungen durch die Rechtsprechung

1. Bußgeldverfahren des BfDI (LG Bonn)

2. Bußgeldverfahren der BlnBFDI (LG Berlin)

III. Zur Zurechnung von DSGVO-Verstößen

1. Zur Öffnungsklausel und nationalen Ausgestaltung von Bußgeldverfahren

2. Vereinbarkeit von § 41 BDSG mit der DSGVO

a) Zur Bezugnahme auf ErwG. 150 DSGVO

b) Keine Einschränkung der Effektivität bei Rückgriff auf OWiG

c) Zur unionsweit einheitlichen Anwendung von Bußgeldregeln

3. Kompetenz der EU fraglich

a) Keine Einordnung als Verwaltungssanktion

b) Einordnung der Geldbuße als Sonderstrafrecht

aa) Rechtsprechung des EuGH und EGMR

bb) Einordnung der DSGVO-Bußgelder

4. Keine unmittelbare Sanktionierung wie im EU-Kartellrecht

a) Fehlende Vergleichbarkeit mit EU-Kartellrecht

b) Begrenzte Regelung in der DSGVO

IV. Geltung des Schuldprinzips für DSGVO-Verstöße

1. Schuldprinzip ist Teil des Rechtsstaatsprinzips

2. Auslegung nach dem Wortlaut

3. Systematische Auslegung

4. Historische und teleologische Auslegung

5. Verschuldensunabhängige Bebußung unverhältnismäßig

V. Ergebnisse

 


Leseprobe:

 

"I. DSK-Stellungnahme

1. Gerichtliches Beschwerdeverfahren gegen Bußgeldbescheid der BlnBfDI

1

Anlass des EuGH-Verfahrens 1 ist ein Vorabentscheidungsersuchen des KG an den EuGH vom 6.12.2021 zur Auslegung der DSGVO (Vorlagebeschuss) 2 in einem Beschwerdeverfahren der Staatsanwaltschaft Berlin gegen die Einstellungsentscheidung des LG Berlins vom 18.2.2021 3 . Grund für die Einstellung war ein Verfahrenshindernis aufgrund gravierender Mängel eines Bußgeldbescheides der BlnBfDI vom 30.10.2019 (Bußgeldbescheid).
 

2. Zusammenfassung und Methodik der DSK-Stellungnahme
2

Nach Auffassung der DSK 4 sind die gem. § 41 Abs. 1 BDSG geltenden Vorschriften des OWiG nicht anzuwenden. Allein ein objektiver Pflichtenverstoß ohne den Nachweis des Verschuldens sei ausreichend, um ein Bußgeld gem. Art. 83 DSGVO verhängen zu können. Auffallend ist die fehlende sachliche Ausgewogenheit der DSK-Stellungnahme, die selektive, interessengesteuerte Darstellung des Meinungsstandes 5 und die fehlende Auseinandersetzung mit abweichenden Meinungen (z.B. des Einstellungsbeschlusses). Dadurch erweckt die DSK-Stellungnahme den unzutreffenden Eindruck einer einhelligen Meinung in Literatur und Rechtsprechung.

3

Die DSK begründet die Ergebnisse im Wesentlichen mit dem Effektivitätsgebot und der damit einhergehenden Notwendigkeit analoger Rechtsanwendung. Anders sei eine einheitliche Durchsetzung europäischen Rechts (der DSGVO) nicht gewährleistet. Zunächst wird pauschal unterstellt, gerade bei großen Unternehmen sei der Nachweis eines Organisations- oder Überwachungsverschuldens einer Leitungsperson schwierig zu erbringen. 6 Es läge – so die DSK – sogar im Interesse der Unternehmen selbst, enormen Aufwand und enorme Kosten im Rahmen von (zum Teil öffentlichkeitswirksamen 7 ) Durchsuchungen zu vermeiden. 8 Diese Annahme erscheint bereits deshalb fraglich, weil die Befugnisse der Aufsichtsbehörden gem. Art. 58 DSGVO – mit Ausnahme der Geldbuße gem. Abs. 2 lit. i) – nicht die Feststellung schuldhaften Verhaltens voraussetzen. Die in der DSK-Stellungnahme vorgeschlagene Lösung besteht letztlich in einer systemwidrigen 9 verschuldensunabhängigen Erfolgshaftung 10 bzw. einer Gefährdungshaftung für Verantwortliche nach Art. 4 Nr. 7 DSGVO.

4

Ein Verzicht auf rechtsstaatliche Grundsätze 11 im Straf- und Bußgeldverfahren liegt kaum im Interesse eines beschuldigten Unternehmens. Das Argument der Effektivitätssteigerung durch Reduzierung von Verfahrenshindernissen würde allgemein für alle straf- und ordnungsrechtlichen Behörden gelten. 12 Die DSK-Stellungnahme bringt aber keine spezifischen Gründe vor, weshalb speziell im Datenschutzrecht die allgemein geltenden rechtsstaatlichen Grundsätze nicht anwendbar sein sollen. Der Umstand, dass andere Bußgeldstellen die durch die gesetzlichen Regelungen des OWiG vorgegebenen Ermittlungen durchführen können, widerlegt die Annahme der DSK-Stellungnahme. 13 Abgesehen davon ist festzustellen, dass in der Begründung des Bußgeldbescheids davon ausgegangen wird, einen vorsätzlichen Verstoß festgestellt zu haben. Dagegen enthält der Bußgeldbescheid keine Ausführungen, dass der Nachweis einer persönlichen Verursachung in der Unternehmensleitung aufgrund z.B. intransparenter Konzernstrukturen nicht möglich gewesen sei. Dass die Erfüllung der Vorgaben des OWiG aufgrund eines administrativen Versäumnisses unterblieben ist, erscheint somit nicht als sachlicher Grund für die Nichtanwendung geltender Gesetze.

 

II. Bisherige Bewertungen durch die Rechtsprechung
5

Das Zusammenspiel der europarechtlichen Vorgaben des Art. 83 DSGVO mit den nationalen Vorgaben für Straf- und Bußgeldverfahren (nach dem OWiG) war öffentlichkeitswirksam Gegenstand in den Bußgeldverfahren des BfDI gegen 1&1 und der BlnBfDI gegen die Deutsche Wohnen sowie den sich in den jeweiligen Beschwerdeverfahren anschließenden gerichtlichen Verfahren. Die Entscheidungen der gerichtlichen Instanzen LG Bonn und LG Berlin haben zu völlig unterschiedlichen Ergebnissen geführt. 14

 

1. Bußgeldverfahren des BfDI (LG Bonn)
6

Das LG Bonn vertrat das sog. Funktionsträgerprinzip. 15 Danach muss die Aufsichtsbehörde nur den Verstoß eines …"

Hier direkt weiterlesen im juris PartnerModul IT-Recht

 



Verlag Dr. Otto Schmidt vom 11.03.2023 16:08

zurück zur vorherigen Seite