DIE KRUX BEI DER BUßGELDSANKTIONIERUNG

„Landgericht Berlin stellt das Bußgeldverfahren gegen Deutsche Wohnen ein“. Unter diesem Titel veröffentlichte die Deutsche Wohnen SE am 23.02.2021 auf ihrer Webseite eine Pressemitteilung, welche für einige Aufmerksamkeit gesorgt hat. Die Hintergründe:


WAS IST PASSIERT?

Am 30.09.2019 hatte die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro verhängt. Dies stellte zum Zeitpunkt der Verhängung das höchste Bußgeld in Deutschland auf Grundlage der Datenschutz-Grundverordnung (DS-GVO) dar. Mittlerweile erging gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von rund 35,3 Millionen Euro.

Die Deutsche Wohnen ist eines der größten deutschen Immobilienunternehmen. Sie hält nach eigenen Angaben rund 165.700 Einheiten, darunter befinden sich sowohl Wohn- als auch Gewerbeeinheiten. Gegenstand des Bescheides waren Vorwürfe seitens der Behörde, dass die Immobiliengesellschaft im Zeitraum zwischen Mai 2018 und März 2019 keine Maßnahmen zur Ermöglichung einer regelmäßigen Löschung von Mieterdaten in ausreichendem Umfang umgesetzt habe. Zum Teil sollen personenbezogene Daten von Mietern (u.a. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeitsverträgen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten) gespeichert worden sein. Hiergegen wurde seitens des Unternehmens Einspruch eingelegt. Das zuständige Landgericht hat das Verfahren nunmehr eingestellt.


ENTWICKELT SICH EINE RECHTSPRECHUNGSPRAXIS ZUR BUßGELDSANKTIONIERUNG?

Ähnliche mediale Aufmerksamkeit hatte das Leuchtturmverfahren des Bundesbeauftragten für Datenschutz und Informationsfreiheit gegen die „1&1 Telecom GmbH“ erlangt (LG Bonn, Urt. V. 11.11.2020, Az.: 29 OWi 1/20). In diesem Fall hatte das Landgericht Bonn das ursprünglich verhängte Bußgeld in der Höhe von 9,55 Millionen Euro auf 900.000€ eingedampft. Im Unterschied zum (bisherigen) Verfahren vor dem LG Berlin wurde das Bußgeld des Bundesbeauftragten jedoch dem Grunde nach bestätigt. In der Begründung wurde u.a. das Bußgeldberechnungsmodell der Aufsichtsbehörden als unverhältnismäßig eingestuft, was letztlich zu der Reduzierung des ursprünglich verhängten Bußgeldes führte. Bejaht wurde durch das Gericht zudem die Frage, ob gegen ein Unternehmen als juristische Person ein Bußgeld erhoben werden kann. Mithin wurde der Anwendungsvorrang der DS-GVO vor den nationalen Regelungen des Ordnungswidrigkeitenrechtes dargelegt. Das Urteil des LG Bonn ist mittlerweile rechtskräftig. Unternehmen haften demnach für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind.


WAS IST DAS BUßGELDBERECHNUNGSMODELL DER AUFSICHTSBEHÖRDEN?

Über die Sanktionierungsmöglichkeit der Datenschutz-Aufsichtsbehörden durch die Verhängung von Bußgeldern haben wir bereits berichtet. In diesem Beitrag richten wir den Blick ebenfalls auf das Bußgeldkonzept der Aufsichtsbehörden. Im Kern stellt das „Berechnungsmodell“ eine Hilfe bei der Zumessung der Höhe eines Bußgeldes dar. Dies erfolgt grundlegend durch das Bilden eines sogenannten „Tagessatzes“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor.


WACKELT NUN DIE BUßGELDPRAXIS DER AUFSICHTSBEHÖRDEN?

Mitteilungen des LG Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln. Laut Angaben einer Gerichtssprecherin am 24.02.2021 erklärte das Landgericht Berlin den Bescheid für unwirksam, weil ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zu konkreten Tathandlungen fehlten. Es fehlen Angaben, dass eine konkrete Person im Unternehmen für den Verstoß verantwortlich war. Eine Begründung liegt bislang nicht vor. Gegen den Beschluss des Landgerichts Berlin kann die Berliner Aufsichtsbehörde binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen. „Das Recht, Rechtsmittel gegen den Beschluss einzulegen, steht der Berliner Staatsanwaltschaft zu“, erläuterte ein Sprecher. Weiter heißt es, die Berliner Datenschutzbeauftragte werde die Staatsanwaltschaft bitten, von dieser Option Gebrauch zu machen. Der Entscheidung liege die Rechtsauffassung zugrunde, dass Bußgelder gegen Unternehmen nur bei Verschulden von Leitungspersonen verhängt werden könnten. Das Landgericht setze sich damit in Widerspruch zu den Datenschutzaufsichtsbehörden und auch zum Landgericht Bonn, „das die Regeln des deutschen Ordnungswidrigkeitengesetzes europarechtskonform ausgelegt hatte“. Über den Streit hatten wir bereits früher berichtet.

Die Kammer begründete ihren Beschluss laut der Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne, sondern nur eine natürliche Person eine Ordnungswidrigkeit „vorwerfbar“ begehen kann. Eine natürliche Person ist im Vergleich zu einer juristischen Person wie sie die Deutsche Wohnen in der Form der Aktiengesellschaft ist, selbst handlungsfähig. Sollten diese Informationen zutreffend sein, so konterkariert die Entscheidung des LG Berlin eben jene des LG Bonn. Letzteres hatte in der o.g. Entscheidung die Haftung seitens der Unternehmen wie dargestellt, angenommen. Unwahrscheinlich erscheint es nicht, dass nun das LG Berlin einer gegenteiligen Ansicht folgt, zumal die Thematik rechtlich nicht unstreitig ist. Es bleibt demnach abzuwarten, ob und wie die Aufsichtsbehörde hierauf reagiert. Kommt es tatsächlich so widerstreitenden Rechtsansichten der Gerichte müssen die gegenständlichen Rechtsfragen im Zweifel höchstrichterlich entschieden werden. Eine Abkehr von der Möglichkeit der Bußgeldsanktionierung stellt dies aber (zunächst) nicht dar.

Aufmerksamkeit erlangte zudem der Bußgeldbescheid der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen gegenüber notebooksbilliger.de AG über 10,4 Millionen Euro. Nach Auffassung der LfD überwachte das Unternehmen unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche, ohne dass dafür eine Rechtsgrundlage vorlag. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig.

In Sachen H&M ging das Unternehmen nicht gegen den Bescheid des HmbBfDI vor und „akzeptierte“ das verhängte Bußgeld in seiner Höhe. Dies lässt selbstverständlich Raum für Spekulationen.


FAZIT

Es wäre deutlich verfrüht von einem Wanken oder sogar einem Scheitern der aufsichtsbehördlichen Bußgeldpraxis zu sprechen. Allerdings lässt sich aus den Leuchtturmverfahren immer häufiger die Tendenz ableiten, dass die Einspruchsverfahren durchaus von Erfolg gekrönt sein können. Sei es aufgrund des fragwürdigen Konzeptes der Bußgeldberechnung oder aber aufgrund umstrittener Rechtsfragen beim Vorliegen der Tatbestandvoraussetzungen des Art. 83 DS-GVO.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bußgeld
  • Bußgeldmodell
  • Deutsche Wohnen SE
  • Löschung
  • Technische-organisatorische Maßnahmen
Lesen

BUßGELDER NACH DER DS-GVO

Die Sanktionierungsmöglichkeit der Datenschutz-Aufsichtsbehörden mittels Verhängung von Bußgeldern ist seit geraumer Zeit wieder stärker in den Fokus der Öffentlichkeit gerückt. Grund hierfür sind insbesondere Leuchtturmverfahren, wie beispielsweise den Erlass des Bußgeldes in Höhe von 35,3 Mio. Euro durch den Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit gegenüber der Modekette H&M. Darüber hinaus wird über das Verfahren gegen ein Millionenbußgeld vor dem Landgericht Bonn berichtet. Selbstredend laufen neben diesen medienbekannten Fällen noch eine Vielzahl weiterer Bußgeldverfahren. Einen Überblick kann man sich z.B. durch den GDPR Enforcement Tracker verschaffen. 

Mit Sicherheit sind die Höhen der Bußgelder bemerkenswert und erregen gerade deshalb entsprechende Aufmerksamkeit. Für die Anwender ergeben sich für die Bußgeldpraxis eine Reihe von relevanten Fragestellungen: 


WELCHE RECHTLICHEN GRUNDLAGEN GIBT ES?

Art. 83 Abs. 1 DS-GVO erlaubt den Datenschutz-Aufsichtsbehörden die Verhängung von wirksamen, verhältnismäßigen und abschreckenden Bußgeldern. Sanktioniert werden können hierbei die in Art. 83 Abs. 4 bis 6 DS-GVO normierten Tatbestände. Daneben bringt Art. 83 Abs. 8 DS-GVO i.V.m. § 41 BDSG die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) für das Sanktionsverfahren zur Anwendung.  


WAS IST DAS BUßGELDMODELL DER DATENSCHUTZ-AUFSICHTSBEHÖRDEN? 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat 2019 ein mittlerweile viel diskutiertes Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht. Dieses Konzept soll den Aufsichtsbehörden bei der Zumessung der Höhe des Bußgeldes im Einzelfall die Fahrtrichtung vorgeben. Gebildet wird ein sogenannter „Tagessatz“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor. Wohl zurecht wird dieses Konzept – allen voran aufgrund der Bemessungskriterien und -faktoren – von vielen Seiten scharf kritisiert. 


HAFTEN UNTERNEHMEN FÜR IHRE BESCHÄFTIGTEN?

Viel diskutiert wird zudem die Frage wer Adressat von Bußgeldern sein kann. Zur Beantwortung dieser Frage ist entscheidend, ob im Bußgeldverfahren die nationalen Regelungen der §§ 30, 130 OWiG zur Anwendung kommen. Die Datenschutz-Aufsichtsbehörden richten den Fokus eindeutig auf die Verantwortlichen und Auftragsverarbeiter. Sie sehen die Regelung des § 30 OWiG durch den Anwendungsvorrang der DS-GVO verdrängt. Dies hat die DSK in ihrer Entschließung klargestellt.  Die Haftung für Verschulden der Beschäftigten resultiert durch Erwägungsgrund 150 DS-GVO aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts gemäß Art. 101, 102 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). Hiernach haften Unternehmen für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind. So geschehen durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, der ein Bußgeld gegen einen Polizeibeamten verhängte.  


BESTEHEN MÖGLICHKEITEN ZUR VERMEIDUNG HOHER BUßGELDER?

In Sachen AOK Baden-Württemberg war in der Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu lesen, dass eine Geldbuße in Höhe von 1,24 Mio. Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt. Der LfDI Baden-Württemberg schildert weiterhin, dass die umfassende interne Überprüfung und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation sich zu Gunsten der AOK ausgewirkt haben. 

Auch im Fall von H&M wurde unternehmensseitig mit der der Aufarbeitung des Vorfalls sowie der Anregung verschiedener künftig zu treffender Maßnahmen eine Verringerung der Höhe des Bußgeldes erwirkt. Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept. Zur Aufarbeitung der Geschehnisse hat sich die Unternehmensleitung zudem nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Der Bußgeldbescheid ist mittlerweile auch bestandkräftig.  

Doch wie ist eine solche Kooperation mit der Datenschutz-Aufsichtsbehörde i.R.e. Bußgeldverfahrens einzuordnen? Nicht außer Acht gelassen werden darf hierbei, welche Rolle die Veröffentlichung beziehungsweise das Bekanntwerden eines Datenschutzverstoßes spielt. Folgeprobleme können ferner beispielsweise Schadenersatzklagen durch die Betroffenen sein.  


WELCHE MÖGLICHKEITEN BESTEHEN, UM GEGEN EINEN BUßGELDBESCHEID VORZUGEHEN?

Allen voran besteht die Möglichkeit gegen einen Bußgeldbescheid einer Datenschutz-Aufsichtsbehörde einen Einspruch gemäß § 67 OWiG innerhalb von zwei Wochen nach Zustellung des Bescheides einzulegen. Der Bescheid kann sowohl formelle (Zuständigkeit, Verfahren und Form) als auch materielle Mängel (Verhältnismäßigkeit des Bußgeldes) aufweisen. 

Auf den ersten Blick muss die Entscheidung des LG Bonn nach dem oben Gesagten wie ein „Sieg“ des Unternehmens wirken, wurde doch das Bußgeld von knapp 9 Mio. Euro auf 900.000 Euro gekappt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sieht sich durch die Entscheidung ebenfalls bestätigt. In Hinsicht darauf, dass das Bußgeld dem Grunde nach Bestand hat, muss das das Urteil aus Sicht des BfDI sicherlich als Erfolg gewertet werden. Beachtung verdient aber definitiv, dass das Gericht von einem Anwendungsvorrang der DS-GVO gegenüber dem nationalen Bußgeldrecht ausgeht und so eben jenen funktionalen Unternehmensbegriffs bestätigt.  

Lesenswert in diesem Zusammenhang in jedem Fall auch die Aufhebung des Bußgeldes i.H.v. 18 Mio. Euro gegen die Österreichische Post durch das österreichische Bundesverwaltungsgericht (BVerwG, Erkenntnis v. 26.11.2020 – Az.: W258 2227269-1). 


FAZIT

Die Vielzahl der Verfahren zeigt uns einmal mehr, dass Organisationen gut beraten sind, den Datenschutz, die Datensicherheit sowie die IT-Sicherheit ernst zu nehmen. Insbesondere im Fall von H&M wird offensichtlich, welche Konsequenzen durch eine schwere Missachtung des (Beschäftigten-) Datenschutzes herbeigeführt werden. Mit Sicherheit sind erlassene Bußgeldbescheide nicht in Stein gemeißelt und können vor allem Dinge hinsichtlich der Höhe einer gerichtlichen Überprüfung unterzogen werden. Das 1&1-Verfahren aber zeigt uns, dass die Sanktionierung dem Grunde nach vor den Gerichten Bestand haben kann. 

Kein Unternehmen kann es sich mehr erlauben, den Datenschutz zu vernachlässigen. Verstöße gegen das geltende Datenschutzrecht bleiben nicht ohne Folgen. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Bußgeld
  • Bußgeldmodell
  • Datenschutzkonferenz
  • DS-GVO
  • Haftung
Lesen