BESCHÄFTIGTE ALS EIGENSTÄNDIGE VERANTWORTLICHE

Im Rahmen ihres aktuellen Tätigkeitsbericht geht die Landesbeauftragten für Datenschutz und Akteneinsicht Brandenburg (LDA Brandenburg) auf zwei Konstellationen ein, in denen Beschäftigte seitens der Datenschutzaufsichtsbehörde mit einem Bußgeld sanktioniert wurden, nachdem sie personenbezogene Daten, welche sie zur Ausübung ihrer dienstlichen bzw. betrieblichen Tätigkeit erlangt, zu eigenen (privaten) Zwecken und somit außerhalb ihrer vorgesehenen Tätigkeit und Weisung seitens des Arbeitgebers bzw. Dienstherren verarbeitet haben. Beide Fälle wurden mit einer Geldbuße in dreistelliger Höhe geahndet. Diese Konstellationen klingt vertraut, hatte doch der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) laut Pressemitteilung vor rund drei Jahren einen Bußgeldbescheid in Höhe von 1.400 EUR  gegen einen Polizeibeamten verhängt, der dienstlich erlangte personenbezogene Daten zu privaten Zwecken verarbeitet hatte. Mit der Betrachtung und rechtlichen Einordnungen dieser und vergleichbarer Fälle beschäftigt sich der nachfolgende Beitrag.


WAS WAR PASSIERT?

Der erste Fall ereignete sich laut LDA Brandenburg wie folgt: „Eine ehemalige Mitarbeiterin eines Unternehmens hatte – als sie noch dort angestellt war – von ihrem dienstlichen Rechner eine Excel-Tabelle mit Beschäftigtendaten von 56 Mitarbeiterinnen und Mitarbeitern an ihre private E-Mail-Adresse zugesandt. Die Tabelle umfasste neben den vollständigen Namen u. a. auch einen Überblick über bereits genommene und verbleibende Urlaubstage, angefallene Krankentage, Lohndaten, geleistete Überstunden und Sozialversicherungsbeiträge. Die betreffende Mitarbeiterin war in der Firma als Sachbearbeiterin für die Aufgabengebiete Lohn und Gehalt beschäftigt. Die Übersendung an die private E-Mail-Adresse erfolgte nach ihrer Aussage zum Eigenschutz und zum Schutz der Kolleginnen und Kollegen, da im ohnehin bereits angespannten Arbeitsverhältnis Streitigkeiten über die ordnungsgemäße Aufgabenerfüllung der Betroffenen bestanden.Die Handlung der ehemaligen Beschäftigten war dem Unternehmen nicht zuzurechnen. Ihre dienstliche Tätigkeit bestand u. a. in der Erfassung und Aufbereitung der Arbeitszeitkonten inklusive der Urlaubs- und Krankentage sowie der Erstellung von Salden für erbrachte Arbeitsleistungen. Mit der Übersendung der personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter an die private E-Mail-Adresse überschritt sie ihre Kompetenzen und handelte im datenschutzrechtlichen Sinne als Verantwortliche. Zur Erfüllung ihrer betrieblichen Aufgaben war die Übermittlung der Beschäftigtendaten an ihre private E-Mail-Adresse nicht erforderlich und damit rechtswidrig.“

Den zweiten Fall schildert die LDA Brandenburg folgendermaßen: „Ein Angestellter hatte sich von seiner dienstlichen E-Mail-Adresse Bewerbungsunterlagen, die bei seinem Arbeitgeber eingegangen waren an seine private E-Mail-Adresse weitergeleitet, um sich Anregungen zur visuellen Gestaltung eigener Bewerbungen zu holen. Die Lebensläufe hatte er zuvor nicht anonymisiert, sodass sie weiterhin alle persönlichen und beruflichen Daten der Bewerberinnen und Bewerber umfassten. Die Angestellte handelte in diesem Fall unbefugt. Die Übersendung der personenbezogenen Daten der Bewerberinnen und Bewerber an die private E-Mail-Adresse gehörte nicht zu seinen Arbeitsaufgaben. Er war damit im datenschutzrechtlichen Sinn als Verantwortlicher anzusehen. Der Beschäftigte konnte sich hier auf keine Rechtsgrundlage für die Übersendung der Unterlagen und mithin für die Verarbeitung der gegenständlichen personenbezogenen Daten berufen. Die sich bewerbenden Personen hatten nicht darin eingewilligt, dass er deren Lebensläufe an seine private E-Mail-Adresse weiterleitete. Auch die Abwägung nach Artikel 6 Abs. 1 Satz 1 lit. f) Datenschutz-Grundverordnung (DS-GVO) geht zu ihren Gunsten aus. Selbst wenn das Interesse des Angestellten an den Bewerbungsunterlagen ausschließlich der visuellen Gestaltung gegolten und er es nicht auf die personenbezogenen Bewerberdaten abgesehen hatte, überwogen jedenfalls die Interessen, Grundrechte und Grundfreiheiten der Bewerberinnen und Bewerber. Sie hatten ihre Bewerbungsunterlagen im Vertrauen auf den datenschutzrechtlich ordnungsgemäßen Umgang mit ihren personenbezogenen Daten an den Arbeitgeber des Angestellten übersandt. Sie mussten nicht davon ausgehen, dass diese Daten unsachgemäß verwendet werden. Die Verwendung ihrer personenbezogenen Daten durch den Angestellten zum Zweck der Anregung bei der Gestaltung eigener Bewerbungen stellte keinen rechtfertigenden Grund dar, in das Grundrecht auf Informationelle Selbstbestimmung einzugreifen. Die Übersendung der Bewerbungsunterlagen stellt somit eine unbefugte Verarbeitung personenbezogener Daten dar.“


WIE WIRD EIN EINZELNER BESCHÄFTIGTER EIN DATENSCHUTZRECHTLICH VERANTWORTLICHER?

Nach Art. 4 Nr. 7 der DS-GVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Allein aus dem Wortlaut (natürliche oder juristische Person) wird klar, dass es sich bei dem datenschutzrechtlichen Verantwortlichen um eine Organisation, aber auch um eine Einzelperson handeln kann. In der Praxis ist es jedoch in der Regel die Organisation als solche und nicht eine natürliche Person innerhalb der Organisation (wie der Geschäftsführer oder ein einzelner Beschäftigter), die als Verantwortlicher im Sinne der DS-GVO fungiert.

Bei der konkreten Bewertung ist im Ausgang in den Fällen der Verarbeitung personenbezogener Daten durch Organisationen auch darauf abzustellen, dass die Verarbeitung nicht durch die jeweilige Organisation selbst, sondern durch die dort beschäftigten natürlichen Personen verarbeitet werden. Dieses Handeln der Beschäftigten ist in aller Regel der jeweiligen Organisation zuzurechnen. Dies gilt jedenfalls dann, wenn die Verarbeitung personenbezogener Daten für die durch die jeweilige Organisation festgelegten Zwecke und in Ausübung der innerorganisatorischen Tätigkeit der Beschäftigten, mithin nach Weisung und unter Kontrolle der Organisation, erfolgt. Verarbeitet ein Mitarbeiter personenbezogene Daten hingegen für eigene (private) Zwecke, ist er regelmäßig als datenschutzrechtlich Verantwortlicher anzusehen.

Diese Auffassung wird ebenfalls in den Leitlinien des Europäischen Datenschutzausschusses zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO Version 2.0 getragen: „Grundsätzlich kann davon ausgegangen werden, dass jede Verarbeitung personenbezogener Daten durch Mitarbeiter im Tätigkeitsbereich einer Organisation unter der Kontrolle dieser Organisation erfolgt. Unter außergewöhnlichen Umständen kann es jedoch vorkommen, dass ein Beschäftigter beschließt, personenbezogene Daten für seine eigenen Zwecke zu verwenden, wodurch die ihm erteilte Befugnis unrechtmäßig überschritten wird.“ Der EDSA führt jedoch weiter aus: „Daher hat die Organisation als Verantwortlicher dafür zu sorgen, dass angemessene technische und organisatorische Maßnahmen, wie z. B. Schulungen und Informationen für Mitarbeiter, ergriffen werden, um die Einhaltung der DSGVO sicherzustellen.“


WELCHE SANKTIONEN DROHEN?

In Konsequenz des oben Gesagten trifft in erster Linie die jeweilige Stelle die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden für etwaige Verstöße durch dessen Organe oder Beschäftigte. Verarbeiten nun die Beschäftigten die personenbezogenen Daten Betroffener eigenverantwortlich, sind diese ihrerseits nunmehr Adressaten von Haftungsansprüchen und aufsichtsbehördlichen Maßnahmen und Sanktionen. Zunächst sei hier der offensichtliche Anknüpfungspunkt herangezogen: die Bußgeldsanktionierung gemäß Art. 83 DS-GVO. Diese richtet sich sehr wohl auch gegen natürliche Personen als datenschutzrechtlich Verantwortliche. Dies gilt selbst für Beschäftigte öffentlicher Stellen. Wie der LfDI in der eingangs genannten Pressemitteilung hervorhebt, haben die Landesgesetzgeber zwar öffentliche Stellen – anders als Privatunternehmen – mitunter bei Datenschutzverstößen von der Sanktionierung ausgenommen (vgl. z.B. § 19 Abs. 3 Sächsisches Datenschutzdurchführungsgesetz). Wenn Beschäftigte öffentlicher Stellen allerdings dienstlich erlangte Daten zu privaten Zwecken nutzen, dann kann in gravierenden Einzelfällen gegen sie persönlich durchaus ein Bußgeld verhängt werden. Darüber hinaus kommen durch auch Ansprüche betroffener Personen wie bspw. die Geltendmachung eines Anspruchs auf Schadenersatz nach Art. 82 DS-GVO in Betracht.


FAZIT

Bei der Verarbeitung personenbezogener Daten durch Organisation – gleich welcher Rechtsnatur – wird zuvorderst darauf abzustellen sein, dass sich die jeweiligen Organisationen für die in ihrem Zuständigkeitsbereich erfolgenden Verarbeitungen personenbezogener Daten verantwortlich zeichnen. Dies wird zumindest deshalb anzunehmen sein, weil die Festlegung der Zwecke und Mittel der Verarbeitung durch die Organisationen erfolgt. Die innerhalb der Organisation tätigen Beschäftigten führen die Verarbeitungsprozesse entsprechend nach Weisung und Befugnissen der verantwortlichen Organisationen aus. Überschreiten Beschäftigte aber diese Befugnisse liegt eine eigenständige Verantwortlichkeit nahe. Es ist jedoch allerdings Aufgabe der Organisationen für die Einhaltung der Befugnisse und Weisungen durch angemessene technische und organisatorische Maßnahmen zu sorgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 14. Juni 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Beschäftigte
  • Bußgeld
  • Sanktionen
  • Tätigkeitsbericht
  • Verantwortlichkeit
Lesen

EINSATZ VON DASHCAMS IN FIRMENEIGENEN FAHRZEUGFLOTTEN

Der Einsatz von Dashcams erfreut sich in Deutschland an zunehmender Beliebtheit. Dabei haben nicht nur Privatpersonen das mögliche „Beweismittel“ für sich entdeckt, auch immer mehr Flottenbetreiber deklarieren die Vorteile einer Verkehrsraumüberwachung für sich. Als Rechtfertigungsgründe werden hierzu häufig die Aufklärung von Unfällen bei der Arbeit, Beweissicherung für die Klärung der Schuldfrage in einem Gerichtsverfahren sowie der Schutz vor Vandalismus an den firmeneigenen Fahrzeugen (Eigentumsschutz) angebracht.

Dashcams sind kleine Kameras, die meist im Bereich der Windschutzscheibe angebracht sind und fortwährend das Geschehen im Straßenverkehr als Video aufzeichnen. Durch diese Aufzeichnung werden zwangsläufig Kfz-Kennzeichen anderer Verkehrsteilnehmer sowie unbeteiligte Dritte, die sich auf (Radfahrer) oder in der Nähe (Passanten) einer Straße aufhalten, erfasst. Es werden personenbezogene Daten verarbeitet. Das führt zu der Erforderlichkeit, den Einsatz dieser Minikameras in einem datenschutzrechtlichen Kontext zu betrachten.

Teilnehmer im öffentlichen Straßenverkehr haben ein berechtigtes Interesse daran, nicht ohne rechtlichen Grund aufgezeichnet zu werden. Das gilt schon allein deshalb, weil sie sich der Überwachung durch die Dashcams, von denen sie regelmäßig keine Kenntnis haben, nicht entziehen können. Der rechtmäßige Einsatz von Dashcams im Straßenverkehr bemisst sich nach Art. 6 Abs. 1 lit. f DS-GVO. Danach ist die Verarbeitung personenbezogener Daten nur zulässig, soweit dies zur Wahrung berechtigter Interessen von Verantwortlichen oder Dritten erforderlich ist und sofern nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Daraus ergibt sich eine Interessenabwägung zwischen den Interessen des Verantwortlichen, also demjenigen, der eine Dashcam einsetzt und den Interessen der davon Betroffenen, also der anderen Verkehrsteilnehmer, die aufgezeichnet werden. Eine entscheidende Rolle spielt dabei jeweils der Einsatzzweck.

So sind nach Auffassung der Datenschutzkonferenz, kurz: DSK, permanente und ohne besonderen Anlass vorgenommene Aufzeichnungen im Straßenverkehr unzulässig (vgl. Positionspapier der DSK vom 28.01.2019 zur Unzulässigkeit von Videoüberwachung aus Fahrzeugen). In diesem Fall überwiegen die Interessen der Betroffenen. Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Dies umfasst das Recht des Einzelnen, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden. Als anlasslos gilt der Betrieb einer Dashcam insbesondere, wenn die Aufzeichnung bei Fahrtantritt aktiviert wird und der Speicher erst überschrieben wird, sobald er vollläuft. Solche rotierenden Aufzeichnungen stellen einen Verstoß gegen die Datenschutz-Grundverordnung dar.

Auch wenn der Bundesgerichtshof in seiner Entscheidung vom 15. Mai 2018 (AZ. VI ZR 233/17) die Beweisverwertbarkeit von Bildmaterial in einem Zivilrechtsstreit wegen eines Verkehrsunfalles zugelassen hat, betont er doch gleichzeitig, dass die Verwendung von Dashcams einen rechtswidrigen Eingriff nach der DS-GVO darstellen.

Der Einsatz einer Dashcam wird dann als datenschutzkonform bewertet, wenn sichergestellt ist, dass damit gefertigte Videoaufzeichnungen – ohne ein eine längere Speicherung rechtfertigendes Ereignis – nach kurzer Zeit; maximal drei bis fünf Minuten, wieder gelöscht werden. Es kommt bei der Aufzeichnung also maßgeblich auf ein auslösendes Ereignis an. Technisch sollte die eingesetzte Dashcam daher im sogenannten Loop-Modus filmen. Dabei nimmt die Kamera immer nur kurze Sequenzen maximal 1 Minute auf, die anschließend überschrieben werden, sofern sie nicht gesperrt wurden. Die Sperrung geht entweder manuell auf Knopfdruck, oder wird durch einen sogenannten G-Sensor ausgelöst. Dieser nimmt die bei einem Unfall wirkenden G-Kräfte wahr und löst eine Aufzeichnung aus. Wichtig ist aber auch hier zu wissen, dass solche Aufzeichnungen gelöscht werden müssen, sollte sich herausstellen, dass ein starkes Bremsen, Beschleunigen oder die Erschütterung nichts mit einem Schadensereignis zu tun hatte.

Zu alle dem muss der Verantwortlich bei einer Videoüberwachung mittels Dashcam sicherstellen, dass er die Informationspflichten gemäß Art. 12 ff. DS-GVO wahrt, auch wenn dies gerade bei fahrenden Fahrzeugen in praktischer Hinsicht Schwierigkeiten aufwirft. So empfiehlt es sich, am Fahrzeug und von außen gut erkennbar einen Hinweis auf eine im Fahrzeug befindliche Dashcam, z.B. in Form eines Piktogramms sowie den Firmennamen und eine Internetadresse anzubringen. Auf der Internetseite können dann sämtliche nach Art. 13 DS-GVO erforderlichen Informationen aufgelistet werden.

Setzt also ein Unternehmen Dashcams ein, die ohne Anlass Aufzeichnungen im Straßenverkehr vornehmen, oder kommt er bei dem Einsatz einer Kamera, die nur unter bestimmten Vorbedingungen aufzeichnet, seinen Informationspflichten nicht nach, muss das Unternehmen mit einem erheblichen Bußgeld rechnen. Für Unternehmen hat die Datenschutzkonferenz Ende 2019 ein Konzept zur Bußgeldzumessung veröffentlicht. Da für die Zumessung verschiedene Faktoren relevant sind, können keine pauschalen Beträge genannt werden. Es ist jedoch darauf hinzuweisen, dass die Überwachung unbeteiligter Verkehrsteilnehmer keinen nur geringfügigen Verstoß darstellt. Mit einer Geldbuße im Rahmen für „leichte“ Verstöße können Verantwortliche daher in der Regel nicht rechnen.

Nichtsdestotrotz ist der datenschutzkonforme Einsatz von Dashcams in firmeneigenen Fahrzeugflotten unter den oben aufgezeigten Kriterien nicht grundsätzlich ausgeschlossen. Planen Sie eine umfangreiche Aufrüstung ihre Firmenfahrzeuge mit Dashcams, binden Sie frühzeitig Ihren Datenschutzbeauftragten mit ein.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie/Handel/Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren .

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 08. Februar 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Bußgeld
  • Dashcam
  • Datenschutzinformation
  • Fahrzeugflotte
  • Videoüberwachung
Lesen

DIE KRUX BEI DER BUßGELDSANKTIONIERUNG

„Landgericht Berlin stellt das Bußgeldverfahren gegen Deutsche Wohnen ein“. Unter diesem Titel veröffentlichte die Deutsche Wohnen SE am 23.02.2021 auf ihrer Webseite eine Pressemitteilung, welche für einige Aufmerksamkeit gesorgt hat. Die Hintergründe:


WAS IST PASSIERT?

Am 30.09.2019 hatte die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro verhängt. Dies stellte zum Zeitpunkt der Verhängung das höchste Bußgeld in Deutschland auf Grundlage der Datenschutz-Grundverordnung (DS-GVO) dar. Mittlerweile erging gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von rund 35,3 Millionen Euro.

Die Deutsche Wohnen ist eines der größten deutschen Immobilienunternehmen. Sie hält nach eigenen Angaben rund 165.700 Einheiten, darunter befinden sich sowohl Wohn- als auch Gewerbeeinheiten. Gegenstand des Bescheides waren Vorwürfe seitens der Behörde, dass die Immobiliengesellschaft im Zeitraum zwischen Mai 2018 und März 2019 keine Maßnahmen zur Ermöglichung einer regelmäßigen Löschung von Mieterdaten in ausreichendem Umfang umgesetzt habe. Zum Teil sollen personenbezogene Daten von Mietern (u.a. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeitsverträgen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten) gespeichert worden sein. Hiergegen wurde seitens des Unternehmens Einspruch eingelegt. Das zuständige Landgericht hat das Verfahren nunmehr eingestellt.


ENTWICKELT SICH EINE RECHTSPRECHUNGSPRAXIS ZUR BUßGELDSANKTIONIERUNG?

Ähnliche mediale Aufmerksamkeit hatte das Leuchtturmverfahren des Bundesbeauftragten für Datenschutz und Informationsfreiheit gegen die „1&1 Telecom GmbH“ erlangt (LG Bonn, Urt. V. 11.11.2020, Az.: 29 OWi 1/20). In diesem Fall hatte das Landgericht Bonn das ursprünglich verhängte Bußgeld in der Höhe von 9,55 Millionen Euro auf 900.000€ eingedampft. Im Unterschied zum (bisherigen) Verfahren vor dem LG Berlin wurde das Bußgeld des Bundesbeauftragten jedoch dem Grunde nach bestätigt. In der Begründung wurde u.a. das Bußgeldberechnungsmodell der Aufsichtsbehörden als unverhältnismäßig eingestuft, was letztlich zu der Reduzierung des ursprünglich verhängten Bußgeldes führte. Bejaht wurde durch das Gericht zudem die Frage, ob gegen ein Unternehmen als juristische Person ein Bußgeld erhoben werden kann. Mithin wurde der Anwendungsvorrang der DS-GVO vor den nationalen Regelungen des Ordnungswidrigkeitenrechtes dargelegt. Das Urteil des LG Bonn ist mittlerweile rechtskräftig. Unternehmen haften demnach für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind.


WAS IST DAS BUßGELDBERECHNUNGSMODELL DER AUFSICHTSBEHÖRDEN?

Über die Sanktionierungsmöglichkeit der Datenschutz-Aufsichtsbehörden durch die Verhängung von Bußgeldern haben wir bereits berichtet. In diesem Beitrag richten wir den Blick ebenfalls auf das Bußgeldkonzept der Aufsichtsbehörden. Im Kern stellt das „Berechnungsmodell“ eine Hilfe bei der Zumessung der Höhe eines Bußgeldes dar. Dies erfolgt grundlegend durch das Bilden eines sogenannten „Tagessatzes“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor.


WACKELT NUN DIE BUßGELDPRAXIS DER AUFSICHTSBEHÖRDEN?

Mitteilungen des LG Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln. Laut Angaben einer Gerichtssprecherin am 24.02.2021 erklärte das Landgericht Berlin den Bescheid für unwirksam, weil ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zu konkreten Tathandlungen fehlten. Es fehlen Angaben, dass eine konkrete Person im Unternehmen für den Verstoß verantwortlich war. Eine Begründung liegt bislang nicht vor. Gegen den Beschluss des Landgerichts Berlin kann die Berliner Aufsichtsbehörde binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen. „Das Recht, Rechtsmittel gegen den Beschluss einzulegen, steht der Berliner Staatsanwaltschaft zu“, erläuterte ein Sprecher. Weiter heißt es, die Berliner Datenschutzbeauftragte werde die Staatsanwaltschaft bitten, von dieser Option Gebrauch zu machen. Der Entscheidung liege die Rechtsauffassung zugrunde, dass Bußgelder gegen Unternehmen nur bei Verschulden von Leitungspersonen verhängt werden könnten. Das Landgericht setze sich damit in Widerspruch zu den Datenschutzaufsichtsbehörden und auch zum Landgericht Bonn, „das die Regeln des deutschen Ordnungswidrigkeitengesetzes europarechtskonform ausgelegt hatte“. Über den Streit hatten wir bereits früher berichtet.

Die Kammer begründete ihren Beschluss laut der Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne, sondern nur eine natürliche Person eine Ordnungswidrigkeit „vorwerfbar“ begehen kann. Eine natürliche Person ist im Vergleich zu einer juristischen Person wie sie die Deutsche Wohnen in der Form der Aktiengesellschaft ist, selbst handlungsfähig. Sollten diese Informationen zutreffend sein, so konterkariert die Entscheidung des LG Berlin eben jene des LG Bonn. Letzteres hatte in der o.g. Entscheidung die Haftung seitens der Unternehmen wie dargestellt, angenommen. Unwahrscheinlich erscheint es nicht, dass nun das LG Berlin einer gegenteiligen Ansicht folgt, zumal die Thematik rechtlich nicht unstreitig ist. Es bleibt demnach abzuwarten, ob und wie die Aufsichtsbehörde hierauf reagiert. Kommt es tatsächlich so widerstreitenden Rechtsansichten der Gerichte müssen die gegenständlichen Rechtsfragen im Zweifel höchstrichterlich entschieden werden. Eine Abkehr von der Möglichkeit der Bußgeldsanktionierung stellt dies aber (zunächst) nicht dar.

Aufmerksamkeit erlangte zudem der Bußgeldbescheid der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen gegenüber notebooksbilliger.de AG über 10,4 Millionen Euro. Nach Auffassung der LfD überwachte das Unternehmen unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche, ohne dass dafür eine Rechtsgrundlage vorlag. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig.

In Sachen H&M ging das Unternehmen nicht gegen den Bescheid des HmbBfDI vor und „akzeptierte“ das verhängte Bußgeld in seiner Höhe. Dies lässt selbstverständlich Raum für Spekulationen.


FAZIT

Es wäre deutlich verfrüht von einem Wanken oder sogar einem Scheitern der aufsichtsbehördlichen Bußgeldpraxis zu sprechen. Allerdings lässt sich aus den Leuchtturmverfahren immer häufiger die Tendenz ableiten, dass die Einspruchsverfahren durchaus von Erfolg gekrönt sein können. Sei es aufgrund des fragwürdigen Konzeptes der Bußgeldberechnung oder aber aufgrund umstrittener Rechtsfragen beim Vorliegen der Tatbestandvoraussetzungen des Art. 83 DS-GVO.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bußgeld
  • Bußgeldmodell
  • Deutsche Wohnen SE
  • Löschung
  • Technische-organisatorische Maßnahmen
Lesen

BUßGELDER NACH DER DS-GVO

Die Sanktionierungsmöglichkeit der Datenschutz-Aufsichtsbehörden mittels Verhängung von Bußgeldern ist seit geraumer Zeit wieder stärker in den Fokus der Öffentlichkeit gerückt. Grund hierfür sind insbesondere Leuchtturmverfahren, wie beispielsweise den Erlass des Bußgeldes in Höhe von 35,3 Mio. Euro durch den Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit gegenüber der Modekette H&M. Darüber hinaus wird über das Verfahren gegen ein Millionenbußgeld vor dem Landgericht Bonn berichtet. Selbstredend laufen neben diesen medienbekannten Fällen noch eine Vielzahl weiterer Bußgeldverfahren. Einen Überblick kann man sich z.B. durch den GDPR Enforcement Tracker verschaffen. 

Mit Sicherheit sind die Höhen der Bußgelder bemerkenswert und erregen gerade deshalb entsprechende Aufmerksamkeit. Für die Anwender ergeben sich für die Bußgeldpraxis eine Reihe von relevanten Fragestellungen: 


WELCHE RECHTLICHEN GRUNDLAGEN GIBT ES?

Art. 83 Abs. 1 DS-GVO erlaubt den Datenschutz-Aufsichtsbehörden die Verhängung von wirksamen, verhältnismäßigen und abschreckenden Bußgeldern. Sanktioniert werden können hierbei die in Art. 83 Abs. 4 bis 6 DS-GVO normierten Tatbestände. Daneben bringt Art. 83 Abs. 8 DS-GVO i.V.m. § 41 BDSG die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) für das Sanktionsverfahren zur Anwendung.  


WAS IST DAS BUßGELDMODELL DER DATENSCHUTZ-AUFSICHTSBEHÖRDEN? 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat 2019 ein mittlerweile viel diskutiertes Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht. Dieses Konzept soll den Aufsichtsbehörden bei der Zumessung der Höhe des Bußgeldes im Einzelfall die Fahrtrichtung vorgeben. Gebildet wird ein sogenannter „Tagessatz“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor. Wohl zurecht wird dieses Konzept – allen voran aufgrund der Bemessungskriterien und -faktoren – von vielen Seiten scharf kritisiert. 


HAFTEN UNTERNEHMEN FÜR IHRE BESCHÄFTIGTEN?

Viel diskutiert wird zudem die Frage wer Adressat von Bußgeldern sein kann. Zur Beantwortung dieser Frage ist entscheidend, ob im Bußgeldverfahren die nationalen Regelungen der §§ 30, 130 OWiG zur Anwendung kommen. Die Datenschutz-Aufsichtsbehörden richten den Fokus eindeutig auf die Verantwortlichen und Auftragsverarbeiter. Sie sehen die Regelung des § 30 OWiG durch den Anwendungsvorrang der DS-GVO verdrängt. Dies hat die DSK in ihrer Entschließung klargestellt.  Die Haftung für Verschulden der Beschäftigten resultiert durch Erwägungsgrund 150 DS-GVO aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts gemäß Art. 101, 102 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). Hiernach haften Unternehmen für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind. So geschehen durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, der ein Bußgeld gegen einen Polizeibeamten verhängte.  


BESTEHEN MÖGLICHKEITEN ZUR VERMEIDUNG HOHER BUßGELDER?

In Sachen AOK Baden-Württemberg war in der Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu lesen, dass eine Geldbuße in Höhe von 1,24 Mio. Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt. Der LfDI Baden-Württemberg schildert weiterhin, dass die umfassende interne Überprüfung und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation sich zu Gunsten der AOK ausgewirkt haben. 

Auch im Fall von H&M wurde unternehmensseitig mit der der Aufarbeitung des Vorfalls sowie der Anregung verschiedener künftig zu treffender Maßnahmen eine Verringerung der Höhe des Bußgeldes erwirkt. Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept. Zur Aufarbeitung der Geschehnisse hat sich die Unternehmensleitung zudem nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Der Bußgeldbescheid ist mittlerweile auch bestandkräftig.  

Doch wie ist eine solche Kooperation mit der Datenschutz-Aufsichtsbehörde i.R.e. Bußgeldverfahrens einzuordnen? Nicht außer Acht gelassen werden darf hierbei, welche Rolle die Veröffentlichung beziehungsweise das Bekanntwerden eines Datenschutzverstoßes spielt. Folgeprobleme können ferner beispielsweise Schadenersatzklagen durch die Betroffenen sein.  


WELCHE MÖGLICHKEITEN BESTEHEN, UM GEGEN EINEN BUßGELDBESCHEID VORZUGEHEN?

Allen voran besteht die Möglichkeit gegen einen Bußgeldbescheid einer Datenschutz-Aufsichtsbehörde einen Einspruch gemäß § 67 OWiG innerhalb von zwei Wochen nach Zustellung des Bescheides einzulegen. Der Bescheid kann sowohl formelle (Zuständigkeit, Verfahren und Form) als auch materielle Mängel (Verhältnismäßigkeit des Bußgeldes) aufweisen. 

Auf den ersten Blick muss die Entscheidung des LG Bonn nach dem oben Gesagten wie ein „Sieg“ des Unternehmens wirken, wurde doch das Bußgeld von knapp 9 Mio. Euro auf 900.000 Euro gekappt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sieht sich durch die Entscheidung ebenfalls bestätigt. In Hinsicht darauf, dass das Bußgeld dem Grunde nach Bestand hat, muss das das Urteil aus Sicht des BfDI sicherlich als Erfolg gewertet werden. Beachtung verdient aber definitiv, dass das Gericht von einem Anwendungsvorrang der DS-GVO gegenüber dem nationalen Bußgeldrecht ausgeht und so eben jenen funktionalen Unternehmensbegriffs bestätigt.  

Lesenswert in diesem Zusammenhang in jedem Fall auch die Aufhebung des Bußgeldes i.H.v. 18 Mio. Euro gegen die Österreichische Post durch das österreichische Bundesverwaltungsgericht (BVerwG, Erkenntnis v. 26.11.2020 – Az.: W258 2227269-1). 


FAZIT

Die Vielzahl der Verfahren zeigt uns einmal mehr, dass Organisationen gut beraten sind, den Datenschutz, die Datensicherheit sowie die IT-Sicherheit ernst zu nehmen. Insbesondere im Fall von H&M wird offensichtlich, welche Konsequenzen durch eine schwere Missachtung des (Beschäftigten-) Datenschutzes herbeigeführt werden. Mit Sicherheit sind erlassene Bußgeldbescheide nicht in Stein gemeißelt und können vor allem Dinge hinsichtlich der Höhe einer gerichtlichen Überprüfung unterzogen werden. Das 1&1-Verfahren aber zeigt uns, dass die Sanktionierung dem Grunde nach vor den Gerichten Bestand haben kann. 

Kein Unternehmen kann es sich mehr erlauben, den Datenschutz zu vernachlässigen. Verstöße gegen das geltende Datenschutzrecht bleiben nicht ohne Folgen. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Bußgeld
  • Bußgeldmodell
  • Datenschutzkonferenz
  • DS-GVO
  • Haftung
Lesen