LG Berlin vs. LG Bonn: Uneinheitliche Rechtsprechung zu Bußgeldern für Datenschutzverstöße
Die Androhung millionenschwerer Bußgelder für Datenschutzverstöße gilt als eine der großen Innovationen der Datenschutz-Grundverordnung (DSGVO). Aufgrund ihrer Höhe sind Bußgelder zentral für das datenschutzrechtliche Anreizsystem und motivierten viele Unternehmen, sich vertieft mit ihrer Datenschutz-Compliance zu befassen. Nachdem einige aufsehenserregende Bußgelder in den vergangenen zwei Jahren verhängt wurden, liegen nun erste Entscheidungen deutscher Gerichte vor, die unterschiedlicher kaum sein könnten.
Erstmals hohe Millionenbußgelder für Datenschutzverstöße
Aufsichtsbehörden sind befugt, bei Datenschutzverstößen Bußgelder zu verhängen – ihre Höhe kann bis zu 4% des weltweiten Vorjahresumsatzes des Unternehmens betragen (Art. 83 DSGVO). So kam es etwa im Falle von 1&1 zu einer Verhängung eines Bußgelds in Höhe von 9,55 Millionen Euro, im Falle von Datenschutzverstößen der Deutsche Wohnen sogar 14,5 Millionen Euro. Beide Fälle sorgten deutschlandweit für Aufsehen – und in beiden Fällen wurde der Bußgeldbescheid angegriffen, sodass die jeweiligen Landgerichte über die verhängten Geldbußen zu entscheiden hatten.
Der rechtliche Hintergrund
Die Verhängung von Bußgeldern, ihre Modalitäten und ihre Höhe wird in Fachkreisen stark diskutiert. So ist etwa das umsatzbasierte Bußgeldkonzept der Aufsichtsbehörden einer Fundamentalkritik ausgesetzt. Eine weitere zentrale Frage ist, nach welchen Kriterien Unternehmen überhaupt in Deutschland Adressat eines Bußgeldbescheids werden können. Das Verfahren richtet sich nach dem mitgliedstaatlichen Recht. Insoweit erklärt § 41 des Bundesdatenschutzgesetzes (BDSG) das Gesetz über Ordnungswidrigkeiten (OWiG) für anwendbar. Nach § 30 OWiG kann eine Geldbuße gegen eine juristische Person grundsätzlich nur dann festgesetzt werden, wenn eine Pflichtverletzung einer Leitungsperson (Vorstand, Gesellschafter, etc.) nachgewiesen werden kann.
Die Frage, ob diese Vorschrift auch bei einer Datenschutzverletzungen gilt und dementsprechend ein individueller Verstoß von der zuständigen Aufsichtsbehörde nachgewiesen werden müsste, ist jedoch höchst streitbefangen. Die Datenschutzaufsichtsbehörden vertreten bislang einhellig die Ansicht, § 30 OWiG sei bei Bußgeldverfahren, die auf Datenschutzverstößen beruhen, nicht anwendbar. Jüngst beschäftigten sich sowohl das Landgericht Bonn (LG Bonn) als auch das Landgericht Berlin (LG Berlin) mit dieser Frage und vertreten dabei konträre Standpunkte.
LG Berlin vs. LG Bonn: Quo vadis?
Das LG Bonn kritisierte in seinem Urteil vom 11. November 2020 zwar das Bußgeldbemessungskonzept der Aufsicht und reduzierte das Bußgeld auf 900.000 Euro (Urt. v. 11.11.2020 Az. 29 OWi 1/20 LG). Darüber hinaus ist das Gericht aber der Ansicht, die Feststellung einer rechtswidrigen und schuldhaften Handlung einer Führungskraft sei nicht erforderlich. Das Gericht stützt seinen Standpunkt auf die Erwägungsgründe zur DSGVO und dem Bedürfnis einer effektiven Sanktionierung von Datenschutzverstößen. Eine Anwendung des § 30 OWiG gefährde nicht zuletzt das europäische Effektivitätsgebot (effet utile) und das Bedürfnis gleichmäßiger Sanktionierung auf Grundlage europaweit einheitlicher Vorschriften.
Demgegenüber bejaht das LG Berlin in seinem Beschluss vom 18. Februar 2021 die Anwendbarkeit von § 30 OWiG und damit das Erfordernis eines schuldhaften Fehlverhaltens einer Führungskraft (LG Berlin, Beschluss vom 18.02.2021, Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20)). Ein expliziter Ausschluss der Verweisung auf § 30 OWiG im Rahmen von Datenschutzverstößen sei entgegen der ersten Fassung des Referentenentwurfs des BDSG gerade nicht in das aktuell geltende BDSG mit aufgenommen worden. Nur eine natürliche Person könne eine Ordnungswidrigkeit vorwerfbar begehen; einer juristischen Person könne hingegen lediglich das Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. In der Folge hob das LG Berlin den Bußgeldbescheid der Aufsichtsbehörde auf.
Während das Urteil des LG Bonn rechtskräftig geworden ist, legte die die Staatsanwaltschaft Berlin Beschwerde ein, sodass sich das Kammergericht Berlin dieser Streitfrage annehmen wird. Fakt ist, dass die Linie des LG Berlin de facto dazu führen würde, dass der Aufwand zur Sachverhaltsermittlung für die Aufsichtsbehörden drastisch steigen würde und wohl häufig ein konkreter Verstoß einer individualisierten Führungskraft nicht nachgewiesen können wird.
Fazit und Ausblick
Der Beschluss des LG Berlin mag zunächst danach klingen, dass deutschen Unternehmen nun in vielen Fällen gar keine Bußgelder drohen. Dieser Eindruck täuscht: Vielmehr liegt aufgrund dieses unbefriedigenden Ergebnisses nah, dass sich Aufsichtsbehörden und andere Gerichte – jedenfalls solange keine höchstrichterliche Rechtsprechung vorliegt – der Ansicht des LG Bonn anschließen. Bis zu einer Entscheidung durch den Europäischen Gerichtshof kann es jedoch mehrere Jahre dauern. Unternehmen sollten daher (weiterhin) präventiv agieren und geeignete Compliance-Maßnahmen umsetzen. Dazu zählt insbesondere die Leitungspersonen datenschutzrechtlich zu sensibilisieren, da deren Verstöße dem Unternehmen jedenfalls nach § 30 Abs. 1 OWiG zugerechnet werden können.
Häufig ist die Beschwerde eines Betroffenen bei der Aufsicht oder die Meldung eines Data Breaches Auslöser eines Bußgeldverfahrens. Unsere Erfahrung zeigt, dass Unternehmen zur Kommunikation mit Aufsichtsbehörden den Sachverhalt sorgfältig rechtlich aufarbeiten und die verschiedenen Handlungsoptionen im Rahmen der Kooperation mit der Behörde und im Verwaltungsverfahren evaluieren sollten. Hierdurch kann oftmals die Einleitung eines Bußgeldverfahrens im Vorfeld vermieden werden, sodass sich das Problem einer langen und kostenintensiven gerichtlichen Auseinandersetzung nicht stellt.