Ein scharfes Schwert

Im Blickpunkt: Bußgeldrechtliche Rechtsfolgen der Datenschutz-Grundverordnung

Von Dr. Susana Campos Nave

Beitrag als PDF (Download)

Mit der ab dem 25.05.2018 nunmehr endgültig verbindlich in Deutschland geltenden Datenschutz-Gundverordnung (DSGVO) können Geldbußen im Fall von ­­Art. 83­ Abs. 4 DSGVO von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden – je nachdem, welcher Betrag höher ist. Bei Verstößen gegen Art. 83 Abs. 5 DSGVO können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden – auch hier, je nachdem, welcher Betrag höher ist.

Bußgeldrechtliche Rechtsfolgen der DSGVO

Nach dem Erwägungsgrund 148 der DSGVO ist Sinn und Zweck der Bußgeldvorschriften die konsequente Durchsetzung der Rechtsvorschriften der DSGVO. Die Sanktionen haben damit nicht nur einen repressiven und tadelnden, sondern auch einen generalpräventiven und abschreckenden Charakter. Die Abschreckungswirkung wird in Art. 83 Abs.1 DSGVO explizit genannt. Hier hat also der europäische Gesetzgeber seine Intention nicht nur in den Erwägungsgründen dargelegt, sondern die Zielrichtung von Strafe auch in Form eines generalpräventiven Ansatzes ausdrücklich in Gesetzesform gegossen. Damit erschöpft sich der Wortlaut der DSGVO nicht wie der anderer europäischer Rechtsverordnungen und natio­naler Gesetze in der Benennung der jeweiligen Strafe und des strafbaren Verhaltens, sondern drückt eindeutig die dahinterstehende gesetzgeberische Erwägung aus.

Art. 83 DSGVO ist damit das Herzstück der DSGVO. Denn alle gesetzgeberischen Vorgaben zum Thema Datenschutz und Datensicherheit würden zum gutgemeinten „zahnlosen Papiertiger“ verkommen, würde man nicht „das neue Gold“ – die Daten – durch die Androhung von Strafen absichern. Ein Rechtsstaat braucht Strafe. Und eine rechtsstaatliche Strafe braucht Verhältnismäßigkeit. Die Verhältnismäßigkeit sichert damit die rechtsstaatliche Freiheit. Auch diesen zwingenden Anforderungen wird Art. 83 DSGVO gerecht, indem ­ ­Art. 83­ Abs. 2 DSGVO die Maßstäbe zur Bemessung eines verhältnismäßigen Bußgelds normiert. Der Unterschied zwischen Bußgeld und Strafe soll hier dahingestellt bleiben, wenngleich er für Juristen maßgeblich ist. Für das betroffene Unternehmen, für den allgemeinen Sprachgebrauch und für das Portemonnaie ebenfalls.

Verhältnismäßigkeit des Bußgelds

Die Verhältnismäßigkeit äußert sich in jedem Fall durch ein Entschließungs- und ein Auswahlermessen der zuständigen Aufsichtsbehörde. Beachtlich ist jedoch in diesem Zusammenhang der bereits zuvor genannte Erwägungsgrund 148, wonach von der Möglichkeit der Verhängung einer Geldbuße lediglich im Fall eines geringfügigen Verstoßes abgesehen werden kann oder dann, wenn die Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bedeuten würde. Daraus lässt sich schließen, dass der Gesetzgeber in allen anderen Fällen eine Geldbuße intendiert.

Besonders hervorzuheben für die Bemessung der Geldbuße sind die Bewertungskriterien des Art. 83 Abs. 2 lit. a) bis k) DSGVO. Daneben ist nach der Rechtsprechung des BGH auch bedeutsam, ob ein Compliancemanagementsystem vorhanden war. Wesentlich ist dabei, inwieweit die juristische Person ein effizientes Compliancemanagement installiert hat, um ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens  zu verhindern, zu genügen. Dabei ist auch von Bedeutung, ob und inwieweit die juristische Person bei einem der Tatentdeckung nachfolgenden staatlichen Sanktionsverfahren entsprechende Regelungen optimiert und betriebsinterne Abläufe in einer Weise ausgestaltet hat, dass entsprechende Normverletzungen in Zukunft jedenfalls deutlich erschwert werden. Hier besteht also zwingender unternehmerischer Handlungsbedarf, denn Datenschutz ist längst ein Compliancethema geworden.

Täterbegriff der DSGVO

Nach dem Erwägungsgrund 150 können Täter im Sinne des Art. 83 DSGVO ein „Unternehmen“ sein als auch „Personen, die keine Unternehmen sind“. Der Begriff des Unternehmens ist in Art. 4 Nr.18 DSGVO legal definiert. Demnach ist ein Unternehmen „jede natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen“. Dieser weite Unternehmensbegriff, der auf den kartellrechtlichen Unternehmensbegriff Bezug nimmt, ist durchaus problematisch. Er führt dazu, dass Geldbußen nicht nur gegen die rechtswidrig handelnde Gesellschaft verhängt werden können, sondern sich auch auf den Konzern ausdehnen und dass als Täter ebenso die Muttergesellschaft bebußt wird. Im Gegensatz zum Kartellrecht gilt jedoch im Datenschutzrecht das Konzernprivileg nicht. Nach diesem fallen abgestimmte Verhaltensweisen zwischen Mutter- und Tochterunternehmen nicht unter das Kartellverbot. Das Abstellen auf den weiten Unternehmensbegriff und die damit verbundene wirtschaftliche Einheit schlägt jedoch im Datenschutzrecht fehl. Sinnhaft ist, an eine „datenschutzrechtliche Einheit“ anzuknüpfen. Maßgeblich dabei ist, inwieweit ein datenschutzrechtlich „herrschendes“ Unternehmen andere Unternehmen dazu verpflichten kann, die Einhaltung datenschutzrechtlicher Vorgaben und Prozesse einzuhalten. Hierbei kommt es auf die tatsächliche Möglichkeit an, auf die betroffenen Unternehmen kontrollierend einzuwirken.

Verhältnis zum Gesetz über Ordnungswidrigkeiten (OWiG)

Nach Art. 83 Abs.8 DSGVO finden die Vorschriften des OWiG Anwendung, sofern die DSGVO diesbezüglich keine Regelungen trifft. Aufgrund des zu kritisierenden weiten Unternehmensbegriffs des Art. 83 DSGVO und der Regelung, die damit einhergehende Zurechnung von ­Verstößen gerade nicht daraus abzuleiten,  greifen diesbezüglich die Zurechnungsnormen der §§ 9, 30, 130 OWiG. Hervorzuheben ist diesbezüglich jedoch, dass nach § 30 Abs. 1 Nr. 5 OWiG auch nicht dem Betrieb oder Unternehmen angehörende Täter in Betracht  kommen, wenn diese Leitungs- und Kontrollfunktionen wahrgenommen haben. So kann zum Beispiel der externe Datenschutzbeauftragte als tauglicher Täter  in den Fokus geraten.

Rechtsbehelfe

Die DSGVO sieht keinen eigenen Rechtsbehelf gegen Bußgeldbescheide vor, so dass bundesdeutsche Regelungen Anwendung finden. Bei einem Einspruch gegen einen Bußgeldbescheid ist damit das Amtsgericht des Gerichtsbezirks der zuständigen Aufsichtsbehörde gemäß § 68 Abs.1 OWiG zuständig. Ab einem Bußgeld von über 100.000 Euro ist das Landgericht anzurufen.

Verhältnis zum Strafrecht

Art. 84 DSGVO strahlt als Verbindungsnorm auf die Strafvorschriften des Bundesdatenschutzgesetzes (BDSG) wie etwa § 42 BDSG aus, wonach zum Beispiel die gewerbsmäßige Übermittlung personenbezogener Daten unter Strafe gestellt wird. Des Weiteren finden auch die Vorschriften des StGB zum Schutz des persönlichen Lebens- und Geheimbereichs Anwendung, wie etwa §§ 202a, 202b, 202c StGB. Die Normen sind damit parallel anwendbar.

Während der europäische Gesetzgeber den Bußgeldvorschriften der DSGVO eher die Qualität einer Verwaltungssanktion zuspricht, sieht der deutsche Gesetzgeber das Bußgeld eher als Strafe im weiteren Sinne an. Es ist müßig, darüber zu spekulieren, wie im konkreten Fall die DSGVO, das OWiG, das BDSG und das StGB ineinandergreifen werden. Wie etwa im lebensmittelrechtlichen Bereich, wo Sanktionen sowohl in europäischen Rechtsvorschriften als auch in nationalen Straf- und Bußgeldvorschriften vorhanden sind, wird man auch hier abwarten müssen, wie sich die Rechtspraxis entwickelt. Aufgrund des Gesetzlichkeitsprinzips werden hier die Behörden die Paragraphenkette zur Begründung des Tatvorwurfs als Erste zu bilden haben.  Und wie immerwird die Strafverteidigung deren Rechtmäßigkeit mit kühler Skepsis und in Anbetracht des voreiligen Griffs nach Rechtsnormen  überprüfen.

susana.camposnave@roedl.com