juris Nachrichten

  • Die wichtigsten Entscheidungen
  • Gesetzesentwicklungen und -vorhaben
  • Tagesaktuelle Auswahl der juris Redaktion

Die juris Nachrichten App jetzt gratis herunterladen

Login
Anmerkung zu:LG Bonn 9. Kammer für Bußgeldsachen, Urteil vom 11.11.2020 - 29 OWi 1/20
Autor:Dr. Anja Stürzl, LL.M., RA'in
Erscheinungsdatum:13.01.2021
Quelle:juris Logo
Normen:§ 41 BDSG 2018, § 9 OWiG 1968, § 30 OWiG 1968, § 130 OWiG 1968, 12016E101, 12016E102, EUV 2016/679
Fundstelle:jurisPR-StrafR 1/2021 Anm. 1
Herausgeber:Dr. Mayeul Hiéramente, RA und FA für Strafrecht
Zitiervorschlag:Stürzl, jurisPR-StrafR 1/2021 Anm. 1 Zitiervorschlag

DSGVO-Bußgeld i.H.v. 900.000 Euro wegen eines Verstoßes gegen die Verpflichtung, durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten



Orientierungssätze zur Anmerkung

1. Gegenstand der Sanktionierung bei Art. 83 Abs. 4 bis 6 DSGVO ist der Datenschutzverstoß als Erfolg und nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen. Für die Ordnungswidrigkeitentatbestände in Art. 83 Abs. 4 bis 6 DSGVO gelten die Grundsätze des supranationalen Kartellrechts entsprechend. Die Vorschrift des § 30 Abs. 1 OWiG und das deutsche Rechtsträgerprinzip hingegen finden keine Anwendung.
2. Im Rahmen der Bußgeldbemessung ist nach dem Erwägungsgrund 150 zur DSGVO der funktionale Unternehmensbegriff des europäischen Kartellrechts in Art. 101 und 102 AEUV zugrunde zu legen. Daher kommt es bei der Bestimmung der Obergrenze einer möglichen Geldbuße auf den Gesamtumsatz des betroffenen Konzerns als Unternehmen im funktionalen Sinne und nicht auf den Umsatz der formalen Bußgeldadressatin an.
3. Die Höhe des Umsatzes ist für die Unternehmensgröße und damit für die Ahnungsempfindlichkeit ein geeigneter Indikator. Es darf jedoch nicht aus dem Blick geraten, dass die DSGVO in Art. 83 Abs. 2 Satz 2 in erster Linie tatbezogene Gesichtspunkte für die Bemessung aufführt. Eine Bemessung des Bußgeldes durch Ermittlung eines sich nach dem Umsatz richtenden Grundwertes für das Bußgeld, welcher je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert wird, ist problematisch. Eine solche Bemessungsmethode versagt bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen.



A.
Problemstellung
Seit Geltung der DSGVO sind Geldbußen bei datenschutzrechtlichen Verstößen in den Fokus sowohl der Ermittlungsbehörden wie auch der Öffentlichkeit gerückt. Ein Grund hierfür ist insbesondere die Höhe der Geldbußen, die nach Art. 83 DSGVO verhängt werden können. Bisher sind zahlreiche Problemfelder ungeklärt. Umstritten ist insbesondere, ob bei der Verhängung von Geldbußen nach Art. 83 Abs. 4 bis 6 DSGVO der § 30 Abs. 1 OWiG und das deutsche Rechtsträgerprinzip anzuwenden sind oder ob die Grundsätze des supranationalen Kartellsanktionsrechts entsprechend gelten. Des Weiteren ist unklar, welcher Unternehmensbegriff im Rahmen der Bußgeldbemessung zugrunde zu legen ist. Viel diskutiert wird zudem das Berechnungsmodell der Aufsichtsbehörden vom 19.10.2019, das maßgeblich auf den Umsatz abstellt.


B.
Inhalt und Gegenstand der Entscheidung
Das LG Bonn hat einen Telekommunikationsdienstleister wegen eines Verstoßes gegen die Verpflichtung, durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten (Art. 32 Abs. 1, 2; 83 Abs. 1, 2, 4 DSGVO) zu einer Geldbuße vor 900.000 Euro verurteilt. Das Gericht reduzierte damit die ursprünglich im Bußgeldverfahren durch den Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI) festgesetzte Geldbuße von 9.55 Mio. Euro um satte 90 Prozent.
Das dem gerichtlichen Verfahren vorgelagerte Bußgeldverfahren beruhte auf einer Strafanzeige wegen Nachstellung („Stalking“) eines Kunden des Telekommunikationsdienstleisters. Der ehemaligen Lebensgefährtin des Betroffenen war es gelungen über das Callcenter des Telekommunikationsdienstleisters die neue Telefonnummer ihres Ex-Partners zu erlangen, indem sie sich als dessen Ehefrau ausgegeben hatte. Zur Legitimierung musste sie lediglich den Namen und das Geburtsdatum des Kunden nennen. Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) sah hierin einen Verstoß gegen Artikel 32 DSGVO. Das Unternehmen habe kein hinreichend sicheres Authentifizierungsverfahren vorgehalten und hierdurch kein ausreichendes Schutzniveau gewährleistet. Gegen den Bußgeldbescheid i.H.v. 9.55 Mio. Euro legte der Telekommunikationsdienstleister Einspruch ein. Das Landgericht gab dem Unternehmen Recht. Das Bußgeld sei zwar dem Grunde, nicht aber der Höhe nach berechtigt. Die Geldbuße sei unangemessen hoch, einzelne Zumessungskriterien seien nicht ausreichend berücksichtigt worden.
Der Verstoß begründet sich in der unzureichenden Überprüfung des Authentifizierungsverfahrens im Callcenter des Unternehmens. Nach den intern geltenden Regelungen wurde eine Identifizierung bei fremden Telefonnummern lediglich anhand des Namens und des Geburtsdatums oder – alternativ – durch Angabe von Kunden-/Vertrags- bzw. Auftragsnummer vorgenommen. Auch für den Fall, dass für den Callcenter-Agenten erkennbar eine andere Person als der Kunde anrief (z.B. Familienangehörige), gab es keine weiteren Anforderungen. Es war demnach gängige Praxis, dass Personen, die sich als Familienangehörige oder sonst nahestehende Personen des Kunden ausgaben und zur Authentifizierung den Namen und das Geburtsdatum des Kunden nennen konnten, als berechtigt galten für den Kunden zu handeln. Dies galt auch dann, wenn diese Person nicht vom Kunden als sog. weiterer Ansprechpartner im System hinterlegt worden war. Dieses Authentifizierungskonzept wurde nicht hinsichtlich der Konformität mit der Datenschutzgrundverordnung überprüft. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sah hierin einen grob fahrlässigen Verstoß gegen Art. 32 Abs. 1 DSGVO, weil kein angemessenes Schutzniveau nach Maßgabe des Art. 32 DSGVO gewährleistet werde, wenn sogar Personen, die erkennbar nicht der Kunde selbst sind, Auskünfte erhielten. Bei der Auswahl einer Authentifizierungsmethode müsse „eine Ermittlung und Bewertung der spezifischen Risiken auf der Grundlage der Eintrittswahrscheinlichkeit und der Schwere nachteiliger Folgen für die betroffenen natürlichen Personen“ stattfinden. Vorliegend seien zwar nur wenig sensible Daten (allgemeine Kontaktdaten etc.) betroffen gewesen. Auch sei die Wahrscheinlichkeit, dass auf massenweise Daten und überhaupt auf diese Daten unberechtigt zugegriffen werde, gering. Jedoch sei das Risiko für die Rechte und Freiheiten bestimmter natürlicher Personen erheblich. Zu berücksichtigen sei insbesondere auch, dass es dem Unternehmen ohne nennenswerten Aufwand möglich gewesen wäre, den Sicherheitsstandard zu erhöhen, z.B. durch zusätzliches Abfragen von Spezialwissen. Die Kammer ging nicht davon aus, dass die zuständigen Mitarbeiter des Unternehmens sich der Zuwiderhandlung gegen Art. 32 DSGVO oder deren Möglichkeit bewusst waren. Insbesondere habe es in der Vergangenheit keine Beanstandungen durch Aufsichtsbehörden oder Dritte gegeben und auch in Fachzeitschriften wurden die Anforderungen an die Authentifizierung im Callcenter nicht näher thematisiert. Jedoch seien der hierin liegende Verbotsirrtum und damit der Datenschutzverstoß vermeidbar gewesen. Das Unternehmen hätte das Datenschutzniveau regelmäßig überprüfen müssen.
Nach Ansicht des Gerichts war es im vorliegenden Fall ausreichend, dass lediglich der Datenschutzverstoß konkret benannt wurde. Für die Umgrenzung des Verfahrensgegenstands sei es nicht erforderlich, im Bußgeldbescheid anzugeben, welche natürlichen Personen eines Unternehmens den Datenschutzverstoß begangen haben. Gegenstand der Sanktionierung bei Art. 83 Abs. 4 bis 6 DSGVO sei der Datenschutzverstoß als Erfolg und nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen. Somit sei auch die Tat im prozessualen Sinne ausreichend bestimmt. Hiermit hat sich das Gericht klar positioniert. Nach Ansicht des LG Bonn gelten für die Ordnungswidrigkeitentatbestände in Art. 83 Abs. 4 bis 6 DSGVO die Grundsätze des supranationalen Kartellrechts entsprechend und somit eine unmittelbare Verbandshaftung. Die Vorschrift des § 30 Abs. 1 OWiG und das deutsche Rechtsträgerprinzip sollen keine Anwendung finden.
Das Gericht begründet seine Auffassung im Wesentlichen mit dem Anwendungsvorrang der DSGVO und schließt sich der Meinung des BfDI, der Landesdatenschutzbeauftragten und einigen Vertretern der datenschutzrechtlichen Literatur an, die ebenfalls davon ausgehen, dass für die Ordnungswidrigkeitentatbestände in Art. 83 Abs. 4 bis 6 DSGVO die Grundsätze des supranationalen Kartellrechts entsprechend gelten (vgl. Holländer in: BeckOK, DatenschutzR, 34. Ed. 01.08.2020, Art. 83 DSGVO Rn. 11; Ehmann in: Gola/Heckmann, BDSG, § 41 Rn. 19 f.; Bergt in: Kühling/Buchner, 3. Aufl. 2020, Art. 83 DSGVO Rn. 20; vgl. auch Entschließung vom 03.04.2019 der 97. DSK „Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten“).
Daneben stützt das LG Bonn seine Auffassung auch auf den Wortlaut der Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DSGVO. Eine schuldhafte Handlung der Organe oder Leitungspersonen werde hier nicht vorausgesetzt. Zu berücksichtigen sei des Weiteren, dass durch die Anwendung des § 30 OWiG die naheliegende Gefahr einer europaweit deutlich unterschiedlichen Sanktionierungspraxis bestünde. Jedoch seien insbesondere die gleichmäßige Rechtsanwendung und eine einheitliche sowie effektive Sanktionierung von Datenschutzverstößen von Unternehmen gerade eines der Grundanliegen bei der Schaffung der DSGVO gewesen. Dies zeige sich insbesondere in den Erwägungsgründen 9, 10, 11, 13, 129 und 148, die bei der Auslegung zu berücksichtigen seien, auch wenn den Erwägungsgründen keine Rechtsnormqualität zukommt. Das Landgericht kommt daher zu der Auffassung, „dass für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gemäß § 30 OWiG kein Raum ist“. Dieser Auffassung stehe auch nicht entgegen, dass der europäische Gesetzgeber in Art. 83 Abs. 8 DSGVO für die Gewährleistung angemessener Verfahrensgarantien „einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren“ auch auf das Recht der Mitgliedstaaten verweise. Der Inhalt dieser Vorschrift sei im Lichte des europarechtlichen Effektivitätsgebots auszulegen. Das nationale Verfahrensrecht dürfe daher nur insoweit Anwendung finden, als damit die effektive Durchsetzung und praktische Wirksamkeit der DSGVO gewährleistet werde. Zu berücksichtigen sei in diesem Zusammenhang zudem, dass Art. 83 Abs. 8 DSGVO sich nur auf das Bußgeldverfahren beziehe. In Grenzbereichen zwischen Verfahrensrecht und materiellem Recht könnten daher „allenfalls einzelne materiell-rechtliche Vorschriften aus dem nationalen Recht“ herangezogen werden, soweit eine effektive bußgeldrechtliche Ahndung sichergestellt ist. Nicht gedeckt sei „[e]ine Einschränkung und Schwächung des unionsrechtlichen Haftungsmodells durch Vorschriften wie in § 30 Abs. 1 OWiG“.
Im Rahmen der Bußgeldbemessung hat das Landgericht zu einem weiteren zentralen, bisher umstrittenen Problemfeld Stellung genommen. Anzuwenden sei im Rahmen der Bußgeldbemessung nach dem Erwägungsgrund 150 zur DSGVO der funktionale Unternehmensbegriff des europäischen Kartellrechts in den Art. 101 und 102 AEUV. Bei der Bestimmung der Obergrenze einer möglichen Geldbuße müsse man somit auf den Gesamtumsatz des jeweiligen Konzerns als Unternehmen im funktionalen Sinne und nicht auf den Umsatz des betroffenen Rechtsträgers, der formaler Bußgeldadressat ist, abstellen. Unbeachtlich sei die in der deutschen Sprachfassung der DSGVO vorzufindende Legaldefinition in Art. 4 Nr. 18 DSGVO. Diese Definition des Begriffs „Unternehmen“ im Sinne des einzelnen Rechtsträgers könne für Art. 83 DSGVO nicht einschlägig sein. Dies zeige ein Vergleich mit anderen Sprachfassungen. Der Verordnungsgeber verstehe im hiesigen Kontext den Begriff des Unternehmens im Sinne des Erwägungsgrundes 150.
Nach Art. 83 Abs. 4 Buchstabe a) DSGVO ergibt sich bei einem Verstoß gegen Art. 32 DSGVO ein Bußgeldrahmen von bis zu 10 Millionen Euro bzw. im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls dieser Betrag höher ist. Innerhalb dieses Bußgeldrahmens hat eine Orientierung an den in Art. 83 Abs. 2 Satz 2 DSGVO aufgeführten Zumessungskriterien zu erfolgen. In diesem Zusammenhang stellte die Kammer klar, dass der Umsatz des Unternehmens zwar nicht als Zumessungsgesichtspunkt genannt sei, diesem Umstand aber nicht zu entnehmen sei, dass dem Umsatz des Unternehmens bei der Bußgeldbemessung keine Bedeutung zukomme. Zum einen bestimme der Umsatz bei umsatzstarken Unternehmen die Bußgeldobergrenze, zum anderen müsse der Umsatz auch deshalb berücksichtigt werden, da nur so die Geldbußen auch tatsächlich „wirksam, verhältnismäßig und abschreckend“ sein könnten (Art. 83 Abs. 1 DSGVO). Der Umsatz sei somit ein geeigneter Indikator und auch der Bilanzgewinn und sonstige Kennzahlen der wirtschaftlichen Leistungsfähigkeit des Unternehmens könnten zusätzlich berücksichtigt werden. Eine zu starke Fokussierung auf den Umsatz werde jedoch nicht allen Fallgestaltungen gerecht. Daher könne auch der im vorliegenden Fall erfolgten Bußgeldbemessung des BfDI, die sich am Berechnungsmodell der Aufsichtsbehörden orientiert hat, nicht gefolgt werden. Im vorliegenden Fall stellte das Gericht folgende Zumessungskriterien in die Abwägung ein: keine sensiblen Daten betroffen; nur in einem Fall kam es nachweisbar zu einer Schädigung; kein absichtlicher, bewusster oder auch nur bedingt vorsätzlicher Verstoß; kein Vorhandensein von allgemeinen Vorgaben für die Authentifizierung in Callcentern; umfassende Kooperation mit dem BfDI; unverzügliche Erhöhung des Schutzniveaus des Authentifizierungsprozesses und Einführung einer Service-PIN in Abstimmung mit dem BfDI; erstmalige Verhängung eines Bußgeldes wegen eines Datenschutzverstoßes; es drohte kein Massendiebstahl von Kundendaten, real drohten nur einer geringen, wenn auch relevanten Anzahl von Kunden durch die schwache Authentifizierung Nachteile; Reputationsschaden. Unter umfassender Abwägung aller zumessungserheblichen Umstände hielt die Kammer trotz des hohen Bußgeldrahmens eine gegenüber dem ursprünglichen Bußgeldbescheid deutlich geringere Geldbuße i.H.v. 900.000 Euro als tat- und schuldangemessen.


C.
Kontext der Entscheidung
Soweit ersichtlich hat erstmals ein deutsches Gericht zu den höchst umstrittenen und gleichzeitig zentralen Problempunkten der Anwendbarkeit des § 30 OWiG und des deutschen Rechtsträgerprinzips bei der Verhängung von Geldbußen nach Art. 83 Abs. 4 bis 6 DSGVO sowie des Unternehmensbegriffs Stellung genommen. Die Entscheidung ist von zentraler Bedeutung, denn bisher kennt das deutsche Sanktionsrecht keine unmittelbare Unternehmenshaftung ohne Anknüpfungstat auf der Leitungsebene. Nach aktueller Rechtslage ist eine Bebußung von juristischen Personen oder Personenvereinigungen lediglich über das Ordnungswidrigkeitengesetz (OWiG) möglich, dass eine Bebußung nur dann vorsieht, wenn eine Anknüpfungstat im Sinne eines vorwerfbaren Fehlverhaltens einer natürlichen Person vorliegt. Es reicht nicht das Fehlverhalten irgendeines Mitarbeiters des Unternehmens, es bedarf einer Anknüpfungstat einer Leitungsperson. Zudem kann eine Geldbuße grundsätzlich nur gegen diejenige juristische Person oder Personenvereinigung verhängt werden, deren Organ oder Leitungsperson die Ordnungswidrigkeit begangen hat (Adressat des Bußgeldbescheides). Eine darüberhinausgehende Haftung gibt es nur in sehr eingeschränkten Fällen. Auf weitere Rechtsträger des Gesamtunternehmens (Konzernhaftung) erstreckt sich die Bußgeldhaftung nicht. Nach dem supranationalen Kartellsanktionsrecht, dessen Grundsätze nach Ansicht des LG Bonn entsprechend Anwendung finden sollen, haftet der Verband hingegen unmittelbar. Es kommt nicht darauf an, welche natürliche Person für ihn gehandelt hat (unmittelbare Verbandshaftung sui generis). Es bedarf keiner Kenntnis oder gar Anweisung der Geschäftsführung oder einer Aufsichtspflichtverletzung. Das Unternehmen haftet als funktionale Einheit. Bei mehreren Rechtsträgern haften diese als Gesamtschuldner. Die nach Ansicht des Landgerichts im Rahmen einer Bebußung nach der DSGVO geltende unmittelbare Haftung steht im Widerspruch zum derzeit gültigen Haftungskonzept nach dem OWiG.
Der deutsche Gesetzgeber hat diese Frage nicht eindeutig geregelt. Über die Verweisungsvorschrift des § 41 Abs. 1 BDSG gelten für Verstöße nach Artikel 83 Abs. 4 bis 6 DSGVO die materiell-rechtlichen Vorschriften des OWiG, allerdings nur „sinngemäß“. Der Gesetzgeber trägt dem Anwendungsvorrang der DSGVO dadurch Rechnung, dass nur insoweit auf die Vorschriften des OWiG verwiesen wird, „soweit dieses Gesetz nichts anderes bestimmt“. Insoweit vertritt das LG Bonn die Ansicht, dass hiermit neben dem BDSG auch die DSGVO erfasst sein soll. Bestimmte Vorschriften werden explizit ausgenommen. Die Vorschrift des § 30 OWiG ist hingegen nicht ausgenommen. Die Anwendbarkeit ist daher umstritten.
Für eine Anwendbarkeit wird zu Recht angeführt, dass ursprünglich im Entwurf zum BDSG auch die §§ 9, 30, 130 OWiG noch explizit in der Anwendung ausgeschlossen waren. Die Tatsache, dass die Vorschriften in der aktuellen Fassung nicht mehr explizit ausgeschlossen sind, spricht gerade für die Anwendbarkeit. Der Gesetzgeber hat das Problem offensichtlich gesehen und sich dann gegen die Herausnahme der Vorschriften aus der Verweisung entschieden. Hierfür wird es einen Grund geben. Für die Frage der Zurechnung sind nach dieser Auffassung demnach weiterhin die nationalen Vorschriften maßgeblich (vgl. Gola in: Gola, DSGVO, 2. Aufl. 2018, Art. 83 DSGVO Rn. 11, 16; Schantz/Wolff DatenschutzR/Wolff Rn. 1135 ff., allerdings mit der Einschränkung, dass das Effektivitätsgebot zu berücksichtigen ist; so wohl auch Eckhardt/Menz, DuD 2018, 139 (143); vgl. für Österreich ÖVwGH ZD 2020, 463). Auch würden sich andernfalls klare Widersprüche zum geltenden Schuldprinzip und Zurechnungsmodell der §§ 30, 130 OWiG ergeben. Insoweit ist auch fraglich, ob die Vorschriften dem Bestimmtheitsgebot genügen. Verwunderlich erscheint des Weiteren auch die Tatsache, dass das Landgericht nicht ganz auf das Vorliegen eines vorwerfbaren Verhaltens verzichtet und darlegt, dass die Betroffene „schuldhaft gegen Art. 32 Abs. 1 DSGVO verstoßen“ habe, das Unternehmen „[i]m Sinne einer Tatsachenkenntnis […] vorsätzlich“ gehandelt habe und somit insgesamt wohl von einem fahrlässigen Verstoß ausgegangen wird. Völlig offengelassen wird insoweit durch das LG Bonn, an wessen Verhalten hierbei angeknüpft wurde oder nicht doch letztlich vielmehr nur eine objektiv feststellbare Pflichtwidrigkeit gemeint ist. Für einen schuldhaften (vorsätzlichen/fahrlässigen) Verstoß bedarf es nämlich immer eines Verhaltens einer natürlichen Person, sei es in Bezug auf eigene Taten oder auch Organisations-/Aufsichtspflichten.
Die Gegenmeinung in der Literatur hingegen vertritt – wie auch das LG Bonn – die Auffassung, dass der § 30 OWiG im Rahmen der Sanktionierung gemäß Art 83 DSGVO keine Anwendung findet (Brodowski/Nowak in: BeckOK DatenschutzR, 34. Ed. 1.11.2020, BDSG, § 41 Rn. 11; Bergt in: Kühling/Buchner, 3. Aufl. 2020, Art. 83 DSGVO Rn. 20; Bergt, DuD 2017, 555, 556; Ambrock, ZD 2020, 492, 496; Ebner/Schmidt, CCZ 2020, 84). Für diese Ansicht spricht insbesondere die Tatsache, dass eine Anwendbarkeit des § 30 OWiG und damit die Voraussetzung eines eigenen Verstoßes bzw. eigenen Verschuldens eines Repräsentanten, im europäischen Kontext zu stark divergierenden Sanktionierungsmöglichkeiten führen würde (Wolff in: Schantz/Wolff, DatenschutzR, Rn. 1133 ff.). Eine unterschiedliche Handhabung der Bußgeldverhängung je nach Mitgliedstaat würde jedenfalls in Deutschland vor allem auch zu einer erheblichen Einschränkung der Sanktionierung und/oder Verfolgung führen, auch wegen höheren Anforderungen an die Nachweisbarkeit. Im Hinblick auf den Wirksamkeitsgrundsatz des Europarechts („effet utile“), wäre die Anwendung der Vorschriften der §§ 30, 130 OWiG kritisch (so auch Ebner/Schmidt, CCZ 2020, 84; Ehmann in: Gola/Heckmann, 13. Aufl. 2019, BDSG, § 41 Rn. 19 f.). Auch verschiedene Erwägungsgründe scheinen diese Ansicht zu stützen, da sich aus diesen ergibt, dass durch die DSGVO eine gleichmäßige Rechtsanwendung sowie eine einheitliche und effektive Sanktionierung von Datenschutzverstoßen sichergestellt werden sollte. Dies zeige sich insbesondere in den Erwägungsgründen 9, 10, 11, 13, 129, 148 und 152, die bei der Auslegung zu berücksichtigen seien, auch wenn ihnen keine Rechtsnormqualität zukommt (vgl. Ehmann in: Gola/Heckmann, 13. Aufl. 2019, BDSG, § 41 Rn. 19 f.; LG Bonn - 29 OWi 1/20). Nach dieser Auffassung wird maßgeblich auf den Anwendungsvorrang der DSGVO abgestellt. Nachweisbar sei an das supranationale Kartellrecht angeknüpft worden (Bergt in: Kühling/Buchner, 3. Aufl. 2020, Art. 83 DSGVO Rn. 20; Bergt, DuD 2017, 555, 556). Dies ergebe sich insbesondere auch aus dem Erwägungsgrund 150 DSGVO (Brodowski/Nowak in: BeckOK DatenschutzR, 34. Ed. 1.11.2020, BDSG, § 41 Rn. 11.3; Bergt, DuD 2017, 555, 556).
Die unmittelbare Haftung von Unternehmen, ohne vorwerfbares Handeln auf Leitungsebene, ist im Hinblick auf das geltende Haftungskonzept im deutschen Recht sowie das Schuldprinzip bedenklich. Insoweit stellt sich auch die Frage, ob eine derart grundlegende Auslegungsfrage nicht dem EuGH vorgelegt werden sollte bzw. auch durch den deutschen Gesetzgeber eine Klarstellung erfolgen sollte. Unabhängig hiervon sprechen jedoch auch gute Argumente gegen die Anwendbarkeit, so wird eine unterschiedliche Handhabung in den einzelnen Mitgliedstaaten in einer derart zentralen Fragestellung sicherlich nicht gewollt sein. Zumindest werden sich Unternehmen darauf einrichten müssen, dass der Ansicht des LG Bonn und der Aufsichtsbehörden weitere Gerichte folgen könnten.
Erfreulicherweise stellte das LG Bonn hinsichtlich der Bußgeldbemessung klar, dass der Umsatz zwar grundsätzlich ein geeigneter Indikator ist, jedoch nicht aus dem Blick geraten dürfe, dass die DSGVO in Art. 83 Abs. 2 Satz 2 in erster Linie tatbezogene Gesichtspunkte für die Bemessung aufführe. Somit sei eine „Bemessung des Bußgeldes durch Ermittlung eines sich nach dem Umsatz richtenden Grundwertes für das Bußgeld, welcher je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert wird, [...] aus diesem Grund und wegen der damit einhergehenden Fokussierung auf den Unternehmensumsatz problematisch“. Einen solchen Ansatz hatte im vorliegenden Fall der BfDI in Anlehnung an das Bußgeldkonzept der Datenschutzkonferenz verfolgt. Mit der vorliegenden Entscheidung hat das Gericht damit dem Bußgeldberechnungsmodell der Aufsichtsbehörden eine klare Absage erteilt. Das Gericht begründete seine Kritik insbesondere damit, dass die schematische Berechnung bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen versage. Zudem sei der Grundsatz der Verhältnismäßigkeit zu berücksichtigen. Die Geldbuße müsse spürbar sein, jedoch dürfe sie „nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen.“ Unangemessen ist eine maßgebliche Anknüpfung an den Umsatz in jedem Fall, da dieser nichts über die Leistungsfähigkeit des Unternehmens aussagt. Richtigerweise müsste zumindest auf den Gewinn und nicht den Umsatz abgestellt werden.


D.
Auswirkungen für die Praxis
Es ist begrüßenswert, dass das LG Bonn der rein schematischen Anwendung des Berechnungsmodells der Aufsichtsbehörden eine klare Absage erteilt und klargestellt hat, dass eine Anknüpfung auf erster Stufe allein an den Umsatz nicht allen Fallgestaltungen gerecht werde. Es bleibt abzuwarten, ob andere Gerichte dieser Ansicht folgen werden. Es dürfte jedenfalls damit zu rechnen sein, dass das derzeit gültige Berechnungsmodell überarbeitet werden muss. In zukünftigen Verfahren wird die Bußgeldbemessung, unabhängig davon, ob dem jeweiligen Bußgeldbescheid noch das aktuelle oder gar kein Berechnungsmodell zugrunde gelegt worden ist, Verteidigungspotenzial bieten. Die Reduzierung der Geldbuße um 90% ist ein deutliches und erfreuliches Zeichen. Gleichzeitig darf nicht übersehen werden, dass ein Bußgeld von 900.000 Euro in einem Fall, in dem das Unternehmen umfassend kooperiert hat, kein absichtlicher Verstoß festgestellt wurde, keine sensiblen Daten betroffen waren und nur in einem einzigen Fall ein Schaden entstanden ist, es sich um den ersten Verstoß dieser Art gehandelt hat und es vorher nie Beanstandungen oder Hinweise gegeben hat, beträchtlich ist. Dies zeigt noch einmal deutlich, dass datenschutzrechtliche Anforderungen dringend ernst zu nehmen sind. Den Datenschutz zu vernachlässigen kann sich kein Unternehmen mehr leisten.
Die Risiken für Unternehmen steigen und damit auch die Anforderungen an ein effektives Compliance Management System. Die vorliegende Entscheidung hat aufgezeigt, dass eine unzureichende Überprüfung der eigenen Systeme bereits ausreichend ist. Und auch wenn mit der unmittelbaren Haftung sui generis ein Widerspruch zum deutschen Zurechnungsmodell besteht, werden sich Unternehmen mit Blick auf das Bonner Urteil darauf einrichten müssen, dass es zukünftig für eine Bebußung möglicherweise nicht erforderlich ist, dass eine Anknüpfungstat einer Leitungsperson vorliegt. Zudem werden sich Unternehmen auch nicht mehr darauf berufen können, dass die datenschutzrechtlichen Anforderungen nach der DSGVO „neu“ sind. Das LG Bonn hat klargestellt, dass die Schonzeit vorbei ist. Und aufgrund der Anwendung des funktionalen Unternehmensbegriffs und dem dementsprechenden Abstellen auf den jeweiligen Konzern, erhöht sich das Risiko insbesondere in Konzernsachverhalten.




Zur Nachrichten-Übersichtsseite