4. März 2024, von Alexander Forssman
Die Datenschutz-Grundverordnung (DSGVO) hat die Art und Weise, wie Unternehmen mit personenbezogenen Daten umgehen, grundlegend verändert. Unternehmen jeder Größe und Branche sind verpflichtet, die Vorschriften der DSGVO einzuhalten. Als wesentliches Mittel der Durchsetzung („Enforcement“) dienen den Aufsichtsbehörden Geldbußen, die bei Verstößen gegen die Verordnung verhängt werden können. Dabei stellt sich – insbesondere natürlich auch aus Sicht der Unternehmen – die Frage nach der Zurechenbarkeit: Inwieweit können Verstöße, die von Mitarbeiter/-innen begangen werden, dem Unternehmen selbst zugerechnet werden?
Die DSGVO sieht vor, dass Geldbußen gegen „Verantwortliche“ (und „Auftragsverarbeiter“) festgesetzt werden können, wenn diese ihre datenschutzrechtlichen Pflichten verletzen. Ein Verantwortlicher (oder Auftragsverarbeiter) kann nach den Vorschriften der DSGVO eine natürliche oder juristische Person sein. Dies wiederum steht allerdings im Konflikt mit dem deutschen Rechtssystem und insbesondere dem deutschen Ordnungswidrigkeitenrecht. Aus deutscher Sicht können grundlegend nur natürliche Personen Straftaten oder Ordnungswidrigkeiten begehen. Zwar ist es auch im deutschen Ordnungswidrigkeitenrecht möglich, Geldbußen gegen Unternehmen selbst zu verhängen, dies setzt aber stets die Verletzung einer Pflicht durch einen leitenden Angestellten des Unternehmens voraus. Nach deutscher Auffassung kann für einen datenschutzrechtlichen Verstoß eines „normalen“ Mitarbeitenden demnach keine Geldbuße gegenüber dem Unternehmen (Arbeitgeber) verhängt werden.
In jüngster Zeit gab es mehrere Vorlagefragen deutscher Gerichte – und in der Folge auch Entscheidungen des Europäischen Gerichtshofs (EuGH) – zu diesem Thema. Dabei sollte neben der Frage der eigentlichen Zurechenbarkeit des Verstoßes zum Unternehmen auch geklärt werden, ob hierfür zunächst eine/die konkrete natürliche Person (Mitarbeiter/-in) identifiziert werden muss, die den Verstoß (tatsächlich) begangen hat. Außerdem wurde dem EuGH die Frage vorgelegt, ob eine Geldbuße nach der DSGVO ein Verschulden voraussetzt.
Über diese Vorlagefragen entschied der EuGH im vergangenen Dezember in zwei Urteilen. Zum einen urteilte er, dass die Bestimmungen der DSGVO – also das Unionsrecht – einer nationalen Regelung entgegenstehen. (Wie etwa dem § 30 des deutschen Gesetzes über Ordnungswidrigkeiten – OWiG.) Die Festsetzung einer Geldbuße nach der DSGVO darf also nicht davon abhängig gemacht werden, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.
Zum anderen entschied der EuGH, dass die Verhängung einer Geldbuße nach der DSGVO nur dann zulässig ist, wenn nachgewiesen ist, dass der Verstoß „von dem Verantwortlichen“ vorsätzlich oder fahrlässig – mithin also schuldhaft – begangen wurde. Die Regelung des Art. 83 DSGVO sei insoweit eindeutig. Die Voraussetzungen für die Verhängung einer Geldbuße durch eine Aufsichtsbehörde ergeben sich ausschließlich durch das Unionsrecht, in diesem Zusammenhang liegen keine Öffnungsklausen für die Mitgliedstaaten vor.
Der EuGH stellt klar, dass die DSGVO keine ausdrückliche Pflicht zur Identifizierung des konkreten Täters vorsieht. Unternehmen können auch dann für Datenschutzverstöße verantwortlich gemacht werden, wenn der/die individuelle Mitarbeitende, der/die den Datenschutzverstoß begangen hat, nicht eindeutig identifiziert werden kann. Unternehmen haften also grundlegend für alle Mitarbeiter/-innen – nicht nur für diejenigen in leitender Position. Entscheidend ist insoweit lediglich die Zweckbestimmung des Handelns des/der Mitarbeitenden, die durch die Unternehmensvorgabe erfolgt und mit den an die Person zugewiesenen Aufgaben im Unternehmen verknüpft sein muss. Art. 82 DSGVO begründet eben gerade eine umfassende Haftung und Schadensersatzpflicht des Verantwortlichen, die sich auf den materiellen und/oder immateriellen Schaden, der durch die nicht datenschutzkonforme Verarbeitung personenbezogener Daten entstanden ist, bezieht. Dies entspricht auch dem Ziel der DSGVO, die Verantwortlichkeit von Unternehmen zu stärken und den Datenschutz zu gewährleisten.
Zur zweiten Frage stellte der EuGH klar, dass eine Geldbuße nach der DSGVO ein Verschulden voraussetzt, also ein vorsätzliches oder fahrlässiges Verhalten. Die Verantwortung und daraus folgende Haftung eines Verantwortlichen erstrecken sich dabei auf jedwede Verarbeitung personenbezogener Daten, die durch oder in seinem Namen erfolgt. In diesem Rahmen muss der Verantwortliche nicht nur geeignete und wirksame Maßnahmen treffen, er muss zudem auch nachweisen können, dass seine Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die er ergriffen hat, wirksam sind. Dabei kommt es zudem nicht darauf an, ob sich der Verantwortliche der Rechtswidrigkeit seines Verhaltens auch tatsächlich bewusst war, sondern nur darauf, ob er die Rechtswidrigkeit erkennen konnte. Eine tatsächliche Handlung des Leitungsorgans selbst ist mithin nicht erforderlich. Es muss noch nicht einmal Kenntnis über den konkreten Verstoß haben.
Zusammenfassend zeigt sich, dass Unternehmen eine hohe Verantwortung für die Einhaltung der DSGVO tragen und auch für Verstöße ihrer Mitarbeitenden zur Rechenschaft gezogen werden können. Datenschutzpraktiken in Unternehmen sollten daher regelmäßig überprüft werden, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.
Alexander Forssman ist Industriekaufmann und Rechtsanwalt mit den Schwerpunkten IT- & Internetrecht, Datenschutz und eCommerce sowie Gesellschaftsrecht und Verhandlungsmanagement. Er ist Dozent zu verschiedenen Fachthemen und Lehrbeauftragter der Hochschule Aalen sowie der Hochschule der Bayerischen Wirtschaft zu den Themen „Cyber Security“, „Datenschutzrecht“ und „IT-Recht“.
