Datenschutz : EuGH: Hürden für Bußgelder gesenkt

Für Geldbußen gegen juristische Personen und Personenvereinigungen sieht § 30 OWiG relativ hohe Hürden vor. Voraussetzung ist, dass bspw. die Geschäftsführung eine Ordnungswidrigkeit begangen hat, mit der Folge, dass die juristische Person ihrerseits Vorschriften verletzt. Das bedeutet in der Praxis, dass ein Verstoß gegen die DS-GVO nicht mit einem Bußgeld geahndet werden kann, wenn der Geschäftsführer die Handlung nicht selbst getan oder angeordnet hat. Die meisten Verstöße in der Praxis wären somit nicht mehr bußgeldfähig. Der EuGH hat nun geurteilt, dass der nationale Gesetzgeber keine zusätzlichen Hürden aufstellen darf. Die Voraussetzungen für ein Bußgeld bemessen sich ausschließlich nach Art. 83 DS-GVO. Damit reicht es auch, dass eine juristische Person fahrlässig oder vorsätzlich gegen die DS-GVO verstoßen hat. Wer im Unternehmen den Verstoß begangen hat, von ihm wusste oder ihn gar anordnete, hat dabei keine Rolle zu spielen.

Folgen für Unternehmen

Datenschutzaufsichtsbehörden sind nicht gezwungen, zu ermitteln, wer von einem Verstoß wusste oder ihn anordnete. Es reicht aus, das Handeln des Unternehmens als Ganzes in den Blick zu nehmen. Die Bedeutung wird deutlicher, wenn man sich die „alltäglichen“ Verstöße ansieht. Angenommen, ein Mitarbeiter aus der Marketingabteilung versendet eine unverlangte E-Mail-Werbung an einen Interessenten ohne Einwilligung. Weder sein Vorgesetzter noch die Geschäftsführung wussten davon. Der Versand einer unverlangten E-Mail-Werbung an einen Interessenten bedarf immer einer vorherigen Einwilligung (§ 7 Abs. 2 Nr. 2 Gesetz gegen den unlauteren Wettbewerb (UWG)). Fehlt diese Einwilligung, wird nicht nur gegen das UWG verstoßen, sondern immer auch gegen Art. 6 Abs. 1 DS-GVO. Aus Sicht der Datenschutzaufsichtsbehörde hat das Unternehmen durch den Versand einer E-Mail-Werbung personenbezogene Daten ohne Rechtsgrundlage verarbeitet, d. h. insbesondere Art. 6 Abs. 1 DS-GVO verletzt.

Eine Verletzung der DS-GV

Eine Verletzung der DS-GVO reicht für sich genommen nicht aus, um ein Bußgeld zu verhängen. Die Handlung muss vorsätzlich oder fahrlässig begangen worden sein. Was „vorsätzlich“ oder „fahrlässig“ genau bedeuten, lässt die DS-GVO offen. Da es kein EU-Deliktrecht gibt, bleibt es dem EuGH in (zukünftigen) Urteilen überlassen, beide Begriffe auszugestalten. Welche Bedeutung „vorsätzlich“ oder „fahrlässig“ im deutschen Strafrecht hat, spielt keine Rolle, da europäische Rechtsakte immer ohne das nationale Verständnis auszulegen sind.

Gleichwohl lohnt sich als erster Anhaltspunkt ein Blick in das deutsche Verständnis von „vorsätzlich“ oder „fahrlässig“. Ohne ins Detail gehen zu wollen, und ganz vereinfacht zusammengefasst: Fahrlässig handelt, wer einen Gesetzverstoß als Nebenfolge seiner Handlung für möglich hält, aber hofft, dass dieser nicht eintritt („wird schon gut gehen“). Vorsätzlich handelt jemand, der den Verstoß bewusst herbeiführt oder billigend in Kauf nimmt.

Für die Frage, ob ein Bußgeld verhängt werden darf, reicht es aus, dass ein Unternehmen fahrlässig gehandelt hat. Lediglich bei der Höhe des Bußgelds wirkt ein vorsätzlicher Verstoß schwerer als ein fahrlässiger. Ob sich deutsche Aufsichtsbehörden in der Praxis die Mühe machen werden, den Vorsatz zu ermitteln, bleibt abzuwarten. Da es beim Vorsatz auf die mit der Tat verbundenen Absichten ankommt, muss eine Datenschutzaufsichtsbehörde die Absicht ermitteln. Dazu kann es erforderlich sein, E-Mails und andere Unterlagen einzufordern oder beschlagnahmen zu lassen.

In der Praxis ist es für Unternehmen deshalb von Bedeutung, zu verstehen, wann eine fahrlässige Handlung vorliegt.

Fahrlässigkeit: eine erste Annäherung

Fahrlässigkeit setzt grundsätzlich voraus, dass dem Handelnden bekannt ist, dass seine Handlung zu einem Verstoß gegen die DS-GVO führen kann. Der EuGH hat in dem eingangs genannten Urteil klargestellt, dass Nichtwissen nicht unbedingt vor Strafe schützt (Rn. 76). Fahrlässigkeit ist also auch dann gegeben, wenn ein Unternehmen keine Kenntnis von der Unrechtmäßigkeit hatte, diese Kenntnis sich aber hätte verschaffen können oder müssen. Art. 24 Abs.1 DS-GVO verpflichtet das Unternehmen explizit dazu, sicherzustellen, dass die DSGVO eingehalten wird. Beruft sich ein Unternehmen auf Unwissen, läuft es Gefahr, einen ebenfalls bußgeldbewehrten Verstoß gegen Art. 24 Abs. 1 DS-GVO einzuräumen. Folglich dürfte bei einem Verstoß gegen die DS-GVO regelmäßig von Fahrlässigkeit auszugehen sein.

Übertragen auf unser Beispiel der unverlangten E-Mail-Werbung ohne Einwilligung ist wohl von Fahrlässigkeit auszugehen, d. h., der Weg zu einem Bußgeld steht der Datenschutzaufsichtsbehörde offen.

Die Mischung macht es: steigende Risiken?

Nimmt man ein weiteres Urteil des EuGH und die Berechnungsmethode zur Bestimmung der Bußgeldhöhe der Datenschutzaufsichtsbehörden ebenfalls in den Blick, so wird die Brisanz des Urteils deutlicher.

Der EuGH hat festgestellt, dass Datenschutzaufsichtsbehörden Auftraggebern ein Bußgeld auferlegen dürfen, wenn der beauftragte Auftragsverarbeiter personenbezogene Daten fahrlässig oder vorsätzlich unrechtmäßig verarbeitet hat (Urteil vom 05.12.2023, Az. C683/21, Rn. 84). Dieses gilt nicht, wenn der Auftragsverarbeiter „personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte“ (Rn. 85).

Sofern Softwarehersteller im Rahmen der Fehlerbehebung Zugriff auf die Daten der Auftraggeber haben können, sind sie grundsätzlich Auftragsverarbeiter. Wer Softwareas-a-Service anbietet, ist ebenfalls Auftragsverarbeiter.

Für Auftragsverarbeiter ist die Klarstellung, dass für eine unrechtmäßige Verarbeitung auf Geheiß des Auftraggebers dieser auch Adressat der Geldbuße ist, beruhigend. Es empfiehlt sich daher, genau zu dokumentieren, welche Verarbeitungen der Auftraggeber fordert oder erwartet.

Weiterhin empfiehlt es sich, als Auftragsverarbeiter durch interne Maßnahmen sicherzustellen, dass kein Mitarbeiter weisungswidrig Daten des Auftraggebers bspw. zum Testen der Software nutzt. In so einem Fall liegt nicht nur regelmäßig ein Vertragsbruch vor, sondern es kann auch ein Bußgeld gegen den Auftragsverarbeiter verhängt werden. Schadensersatzansprüche der betroffenen Personen sind ebenfalls denkbar.

Aus Sicht der Auftraggeber steigt das Haftungsrisiko an. Aus diesem Grund ist ein Auftraggeber gut beraten, seine Auftragsverarbeiter regelmäßig zu kontrollieren, um seine Sicherstellungspflicht einzuhalten. Die dazu nötigen Zutrittsrechte müssen in der Vereinbarung zur Auftragsverarbeitung ja eingeräumt sein (vgl. Art. 28 Abs. 3 lit. h) DS-GVO). Verhaltensregeln, wie z. B. Trusted Data Processor4, können helfen, sowohl die Kontrollaufwände wie auch die Höhe möglicher Bußgelder zu senken.

Der Europäische Datenschutzausschuss hat verbindliche Leitlinien beschlossen, nach denen europäische, d. h., auch deutsche Datenschutzaufsichtsbehörden die Höhe von Bußgeldern festlegen müssen.3 Die Berechnung erfolgt in mehreren Schritten. Kernelemente sind der Unternehmensumsatz und die Schwere des Verstoßes.

Im Kern skaliert ein Bußgeld nach diesen Leitlinien mit dem Unternehmensumsatz. Dabei – wie der EuGH in seinem eingangs erwähnten Urteil auch festgestellt hat (Rn. 56 ff.) – ist der Umsatz aller mit dem „schuldigen“ Unternehmen verbundenen Unternehmen einzubeziehen, d. h. im Wesentlichen der Konzernumsatz. Durch die Berücksichtigung des Umsatzes zahlen umsatzschwache Unternehmen für den gleichen Verstoß ein geringeres Bußgeld als umsatzstarke Unternehmen. Wenn man öffentlich bekannte Bußgelder als Vergleich heranzieht, sollte man den Umsatz des bebußten Unternehmens berücksichtigen. Anders formuliert, je höher der Umsatz ist, desto teurer werden auch „kleine“ Verstöße.

Persönliche Haftung der Geschäftsführung

Für die Unternehmensleitung stellt sich angesichts der beschriebenen Entwicklung verstärkt die Frage nach der persönlichen Haftung bzw. Organhaftung. Die Unternehmensleitung ist dafür verantwortlich, sicherzustellen, dass das Unternehmen die DS-GVO einhält. Wird gegen das Unternehmen ein Bußgeld verhängt, steht die Frage im Raum, ob die Unternehmensleitung den Verstoß nicht hätte verhindern können oder müssen. Gerade bei Fremdgeschäftsführern sind Gesellschafter schneller geneigt, über eine Inanspruchnahme nachzudenken. Das gilt erst recht für den Insolvenzverwalter im Rahmen einer Insolvenz.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

Fazit

Verstößt ein Unternehmen gegen die DS-GVO, liegt sehr schnell mindestens die Fahrlässigkeit vor. Da im Datenschutzrecht faktisch die „Schuldsvermutung“ gilt, muss das Unternehmen der Datenschutzaufsichtsbehörde nachweisen, dass kein Verstoß vorliegt. Damit ist für die Datenschutzaufsichtsbehörde der Weg zum Bußgeld offen und – wegen der Beweislast auf Seiten des Unternehmens – auch einfach zu beschreiten. Die neue Berechnungsmethode für Bußgelder sorgt dafür, dass die Höhe sich neben der Schwere des Verstoßes auch am Umsatz orientiert. Umsatzstärkere Unternehmen müssen deshalb mit höheren Bußgeldern rechnen. Maßgeblich ist der Konzernumsatz.

Weiterhin können Auftraggeber für eine unrechtmäßige Verarbeitung durch einen beauftragten Auftragsverarbeiter mit einem Bußgeld bestraft werden.

Um das Risiko für Verstöße zu senken, sollten Unternehmen Maßnahmen, wie z. B. Datenschutzschulungen, verbindliche Prozesse, regelmäßige Überprüfungen der Einhaltung und Kontrollen von Auftragsverarbeitern, ergreifen. Andernfalls läuft die Unternehmensleitung Gefahr, persönlich oder als Organ zu haften.

Verhaltensregeln, wie z. B. Trusted Data Processor, können helfen, sowohl die Kontrollaufwände wie auch die Höhe möglicher Bußgelder zu verringern.

_{1 Heise Online (2019): Verstoß gegen DSGVO: Deutsche Wohnen soll 14,5 Millionen Euro zahlen, 05.11.2019. URL: heise.de/-4578269}

_{2 Heise Online (2021): Verstoß gegen Datenschutzgesetz: Rechtstreit um Deutsche Wohnen geht weiter, 03.03.2021. URL: heise.de/-5071103}

_{3 URL: www.verhaltensregel.eu/verhaltensregel/}  

_{4 EDPB (2022): Guidelines 04/2022 on the calculation of administrative fines under the GDPR. URL: edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_en}