Bußgelder sollen Sanktionswirkung entfallen

Die Bußgelder, die Datenschutzbehörden bei Datenschutzverstößen verhängen können, sollen sowohl abschrecken als auch sanktionieren. Die DSGVO sieht deswegen einen Bußgeldrahmen bis zu EUR 20 Mio. oder 4 % des weltweit erzielten Jahresumsatzes vor. Dass die deutschen Datenschutzbehörden von dieser Befugnis umfassend Gebrauch machen, zeigen zahlreiche Fälle. Während insbesondere das Bußgeld gegen die 1&1 Telecom GmbH in Höhe von EUR 9,55 Mio. und das Bußgeld gegen die Deutsche Wohnen SE in Höhe von EUR 14,5 Mio. noch als „verhältnismäßig moderat" zu bezeichnen sind, verhängte der Hamburgische Datenschutzbeauftragte Ende letzten Jahres mit knapp EUR 35 Mio. ein Rekordbußgeld gegen H&M.

Gerichtliche Überprüfung der Bußgelder fällt unterschiedlich aus

Kürzlich haben sich erstmals zwei deutsche Gerichte mit der Rechtmäßigkeit solcher Bußgeldbescheide auseinandergesetzt. Dabei ging es um die Frage, ob die Haftung von Unternehmen für Datenschutzverstöße den – möglicherweise gar nicht oder nur mit viel Aufwand zu erbringenden – Nachweis eines schuldhaften Fehlverhaltens einer Führungskraft erfordert. Das Landgericht (LG) Berlin (Beschluss vom 18. Februar 2021 – Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20)) sah das als notwendig an und stellte das Bußgeldverfahren gegen das betroffene Unternehmen mangels eines entsprechenden Nachweises ein. Das LG Bonn (Urteil vom 11. November 2020 – Az. 29 OWi 1/20) rechnete dagegen Datenschutzverstöße der Mitarbeiter dem Unternehmen direkt zu, ohne dass notwendigerweise eine Leitungsperson für den Datenschutzverstoß verantwortlich sein muss.

Bußgeldrisiko weiterhin hoch

Wegen dieser unterschiedlichen Entscheidungen stellen sich viele Unternehmen derzeit die Frage, wieweit die Entscheidung des LG Berlin das Bußgeldrisiko für Datenschutzverstöße tatsächlich verringert. Die ernüchternde Antwort ist, dass sich das Risiko unserer Einschätzung nach vorerst nicht verringert haben dürfte. Der Beschluss des LG Berlin ist nämlich noch nicht rechtskräftig, da die Staatsanwaltschaft Berlin Beschwerde gegen die Verfahrenseinstellung eingelegt hat.

Die Datenschutzbehörden der Länder werden sich daher auf die rechtskräftig gewordene Entscheidung des LG Bonn beziehen und Bußgeldbescheide weiterhin ohne Anknüpfung an ein schuldhaftes Fehlverhalten einer Führungskraft erlassen. Hinzu kommt, dass die Berliner Entscheidung keine Bindungswirkung für die Aufsichtsbehörden anderer Länder hat.

So enthält auch die Ende September veröffentliche Pressemitteilung des Hamburgischen Datenschutzbeauftragten, wonach dieser wegen Verstößen gegen die Transparenzpflicht (Artt. 12, 13 DSGVO) ein Bußgeld in Höhe von etwas mehr als EUR 900.000 gegen die Vattenfall Europe Sales GmbH verhängt hat, keinen Hinweis auf die Berücksichtigung eines konkreten Fehlverhaltens einer Führungskraft.

Betroffenen Unternehmen wird daher nach wie vor nur der – womöglich mit einem erheblichen Medieninteresse verfolgte – Gang zum Gericht bleiben, um sich gegen ein unberechtigtes oder unverhältnismäßiges Bußgeld zu wehren. Grund genug, um besonderes Augenmerk auf die Datenschutz-Compliance zu legen und es gar nicht erst so weit kommen zu lassen.