Wer muss das Bußgeld zahlen?

Wann haften Unternehmen für Datenschutzverstöße ihrer Beschäftigten?

Diese Frage stellt viele Verantwortliche vor einige Herausforderungen. Denn hier liegt die Tücke im Detail: Ist es beispielsweise von Belang, ob es sich bei den betreffenden Mitarbeitenden um Führungskräfte handelt? Ist die Schuldfrage ein entscheidendes Kriterium? Oder grundlegender: Kann ein Unternehmen überhaupt für Verstöße gegen die Datenschutzgrundverordnung haften? Wie verhält es sich, wenn es sich bei dem betroffenen Unternehmen um eine juristische Person handelt? Es gibt viele Rahmenbedingungen für die Haftungsfragen, die aus Datenschutzverstößen resultieren und die Juristen beschäftigen.

Datenschutzgrundverordnung oder Gesetz über Ordnungswidrigkeiten?

Ob das Unternehmen für seine Mitarbeitenden haftet, hängt auch davon ab, ob nur die Datenschutzgrundverordnung, kurz DSGVO, die Rechtgrundlage bildet oder ob – in Deutschland – auch das Gesetz über Ordnungswidrigkeiten herangezogen werden muss. Der Unterschied liegt darin, dass die DSGVO nicht definiert, wann ein Unternehmen für einen Datenschutzverstoß seiner Mitarbeitenden mit einem Bußgeld zur Rechenschaft gezogen werden kann.

Nationales Recht

Beim nationalen Recht kann das anders sein. So regelt das Bundesdatenschutzgesetz in § 41, dass in solchen Fällen das Gesetz über Ordnungswidrigkeiten – und zwar vor allem § 30 OWiG und § 130 OWiG – auf Bußgelder nach dem DSGVO anzuwenden ist. Vereinfacht gesagt, kann ein Bußgeld nur über ein Unternehmen verhängt werden, wenn dessen Organe oder leitende Mitarbeiter eine Ordnungswidrigkeit oder sogar eine Straftat begangen haben, wodurch wiederum Pflichten des Unternehmens verletzt wurden. Oder aber wenn Inhaber eines Unternehmens oder dessen Organe Aufsichtspflichten schuldhaft nicht erfüllt haben, mit denen Verstöße entweder hätten erschwert oder zumindest ihre Folgen hätten abgemildert werden können. Hintergrund ist hier das Rechtsträgerprinzip: Das Unternehmen haftet nur, wenn leitende Mitarbeitende oder Organe schuldhaft gehandelt haben. Für fehlerhaftes Verhalten einfacher Mitarbeitender muss das Unternehmen nicht haften.

Im Widerspruch zur DSGVO

Weil diese Rechtslage dem Grundsatz der DSGVO widerspricht, nach der Datenschutzverstöße von Unternehmen mit Bußgeldern geahndet werden, sind Urteile zu dieser Problematik nun von besonderem Interesse:

Landgericht Bonn

• Das LG Bonn gab der DSGVO in einem Bußgeldverfahren gegen das Unternehmen 1&1 den Anwendungsvorrang. Das Bußgeld hänge nicht davon ab, dass eine Leitungsperson gegen die Vorgaben des Datenschutzes verstoßen habe. Nach dem Funktionsträgerprinzip müsse ein Unternehmen für alle Beschäftigten haften.
• Österreichischer Verwaltungsgerichtshof
  Ob der DSGVO oder dem nationalen Bußgeldrecht der Vorrang zu geben sei, beschäftigte bereits 2019 den österreichischen Verwaltungsgerichtshof. Dieser entschied, dass eine Geldbuße laut Art. 83 DSGVO nur verhängt werden könne, wenn eine bestimmte Leitungsperson die Schuld an dem Datenschutzverstoß trage und wendete damit die österreichischen Rechtsnormen in Bußgeldfragen an.
• Über ein weiteres und aufgrund des hohen Bußgelds von 14,5 Millionen Euro besonders spektakuläres Urteil lesen Sie hier mehr: Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen Deutsche Wohnen [Link auf Beitrag]

Sie möchten Datenschutzverstößen vorbeugen?

Dann rufen Sie uns einfach unter 09122 6937302 an oder schreiben Sie uns eine Nachricht. Wir beraten Sie sehr gern zu allen Fragen des Datenschutzes und stehen Ihnen mit unserer Expertise zur Seite.

Ihr Team von Datenschutz Prinz