9
Jul
2020
Dr. Christian Tinnefeld
Dr. Christian Tinnefeld
Datenschutz und Datensicherheit, IT-Recht, Internetrecht, Urheberrecht / Hamburg
E-Mail: christian.tinnefeld@hoganlovells.com
Telefon: +49 40 41993 238
» zur Autorenseite
& Dr. Christian Tinnefeld

Öst. VwGH: DSGVO-Bußgelder nur bei zurechenbarem Verstoß einer konkreten Person

Der österreichische Verwaltungsgerichtshof (VwGH) hat am 12. Mai 2020 entschieden, dass die Verhängung einer Geldbuße nach Art. 83 Datenschutz-Grundverordnung (DSGVO) gegen eine juristische Person erfordert, dass dieser der Datenschutzverstoß wegen eines schuldhaften Verhaltens einer konkreten Leitungsperson zugerechnet werden kann. Die Entscheidung betrifft damit die Frage, ob für Bußgelder nach der DSGVO das sog. Schuldprinzip Anwendung findet oder eine weitreichendere Verbandshaftung gilt. Sie liefert aufgrund der ähnlichen Rechtslage in Deutschland wichtige Erkenntnisse für Verteidigungsstrategien in datenschutzrechtlichen Bußgeldverfahren und ist damit auch für deutsche Unternehmen beachtenswert.

Hintergrund der Entscheidung

Die österreichische Datenschutzbehörde verhängte im Jahr 2018 ein Bußgeld gegen die Betriebsgesellschaft eines Wettlokals wegen des Vorwurfes einer rechtswidrig ausgestalteten Videoüberwachung. Dabei bemängelte die Behörde u.a. die Auswahl der überwachten Bereiche, die Kennzeichnung der Überwachung, die Speicherdauer der Aufnahmen sowie eine nicht vorhandene Dokumentation der Verarbeitungsvorgänge. Der Bescheid richtete sich allein gegen das Unternehmen. Eine handelnde Person, die diese Verstöße zu verantworten habe, wurde nicht benannt. Die Betriebsgesellschaft wehrte sich gegen den Bescheid zuletzt erfolgreich vor dem österreichischen Bundesverwaltungsgericht. Gegen diese Entscheidung richtete sich die von der Datenschutzbehörde eingelegte Amtsrevision, die vorliegend vom VwGH zu prüfen war (Az. Ro 2019/04/0229).

Kernfrage des Verfahrens: Bußgeld gegen Unternehmen nur bei zurechenbarem Verstoß einer Leitungsperson?

Der Dreh- und Angelpunkt des Verfahrens lag in der Frage, ob die Behörde den tatbestandsmäßigen, rechtswidrigen und schuldhaften Verstoß einer konkreten natürlichen Person hätte ermitteln und im Bußgeldbescheid benennen müssen.

Bußgelder können nach Art. 83 Abs. 4 bis 6 DSGVO gegen Verantwortliche (Art. 4 Nr. 7 DSGVO) oder Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) verhängt werden. Dabei kann es sich auch um juristische Personen handeln. Da aber juristische Personen bzw. Unternehmen nicht selbst handeln können, war im vom VwGH zu entscheidenden Verfahren umstritten, ob es für die Verhängung eines Bußgeldes gegen eine juristische Person grundsätzlich eines zurechenbaren Verstoßes einer natürlichen Person bedarf, die im Unternehmen eine Führungsposition einnimmt (z.B. Organe, Vertretungsbefugte, Entscheidungsträger). Ein solcher zurechenbarer Verstoß ist nämlich gemäß § 30 des österreichischen Datenschutzgesetzes in Verbindung mit einschlägigen Vorschriften des österreichischen Verwaltungsstrafgesetzes grundsätzlich für die Verhängung eines Bußgeldes gegen ein Unternehmen erforderlich.

Auffassung der Datenschutzbehörde

Die österreichische Datenschutzaufsicht vertrat in ihrer Entscheidung den Standpunkt, dass die nationalen Bestimmungen aufgrund unionsrechtlicher Vorgaben nachrangig seien und damit ein zurechenbarer Verstoß einer natürlichen Person nicht erforderlich sei. Die Behörde argumentierte, dass dem Sanktionssystem der DSGVO ein Verbandsverantwortlichkeitsmodell sui generis zu Grunde läge, das dem EU-Wettbewerbsrecht entstamme. Damit seien die Grundsätze anwendbar, die der Gerichtshof der Europäischen Union (EuGH) in seiner Rechtsprechung bereits für das unionsrechtliche Wettbewerbsrecht aufgestellt hat. Danach muss der Verstoß der juristischen Person zwar individuell vorwerfbar sein, die konkrete Benennung der handelnden Person innerhalb des Unternehmens ist aber nicht erforderlich.

Entscheidung des VwGH

Dem VwGH nach ist das Bußgeldsystem des EU-Wettbewerbsrechts jedoch nicht hinreichend mit dem der DSGVO vergleichbar, so dass auch die Rechtsprechung des EuGH nicht übertragbar sei:

  • Es handle es sich bei Geldbußen wegen Verstößen gegen die DSGVO um strafrechtliche Sanktionen (vgl. Erwägungsgrund 150 der DSGVO). Dies sei bei Geldbußen nach dem unionsrechtlichen Wettbewerbsrechts nicht der Fall.
  • Des Weiteren unterliege das Bußgeldverfahren der DSGVO nach Art. 83 Abs. 8 DSGVO ausdrücklich den Verfahrensgarantien des Rechts der Mitgliedsstaaten. Anders sei es im EU-Wettbewerbsrecht. Hier gelten nur die Verfahrensgarantien des Unionsrechts.
  • Darüber hinaus würde die natürliche Person im Unternehmen, die den Verstoß zu verantworten hatte, in ihren Verfahrensrechten eingeschränkt, wenn sie im Verfahren gegen das Unternehmen nicht benannt wird. Häufig käme auch eine Bestrafung dieser Person aufgrund der Verstöße in Betracht, die dem Unternehmen vorgeworfen werden. Damit sei sie im Verfahren ebenfalls Beschuldigte. Sei ihr dies mangels Nennung im Bußgeldbescheid nicht bekannt, könne sie ihre Verfahrensrechte nicht ausüben.

Der VwGH hat die Revision gegen die Entscheidung des österreichischen Bundesverwaltungsgerichts dementsprechend als unbegründet abgewiesen.

Bedeutung der Entscheidung für Bußgeldverfahren in Deutschland

Im vorliegenden Fall hat sich das erste Mal ein oberstes Gericht eines Mitgliedsstaates in einer veröffentlichten Entscheidung detailliert mit Fragen rund um das Bußgeldverfahren der DSGVO beschäftigt. Obwohl die Entscheidung in Österreich erging, sollten auch deutsche Unternehmen besonders aufhorchen: Bußgeldverfahren zählen längst zum Alltag deutscher Datenschutzbehörden und die vom VwGH entschiedene Streitfrage stellt sich in gleicher Weise im deutschen Recht:

  • Auch das deutsche Recht knüpft die Verhängung einer Verbandsgeldbuße gemäß § 30 des Gesetzes über Ordnungswidrigkeiten (OWiG) daran, dass eine konkrete Leitungsperson eine Straftat oder Ordnungswidrigkeit begangen hat und hierdurch Pflichten des Unternehmens verletzt wurden oder dieses Unternehmen bereichert wurde. Alternativ kommt gemäß § 130 OWiG ein Bußgeld gegen eine juristische Person in Betracht, wenn eine Leitungsperson eine konkrete Aufsichtspflicht verletzt hat und es dadurch zu einer Zuwiderhandlung gekommen ist, die den Inhaber betreffen und mit Strafe/Geldbuße bedroht ist.
  • Nach diesen Vorschriften reicht es für die Verhängung eines DSGVO-Bußgeldes also nicht aus, dass ein bloßer Verstoß gegen die DSGVO festgestellt wurde. Vielmehr bedarf es der Feststellung einer spezifischen rechtswidrigen und vorwerfbaren Handlung durch eine konkrete Leitungsperson. Dieses „Schuldprinzip“ ist in Deutschland verfassungsrechtlich verankert und wird von den deutschen Gerichten entsprechend strikt angewendet.
  • Obwohl die §§ 30, 130 OWiG durch den umfassenden Verweis in § 41 BDSG auf das OWiG anwendbar wären, halten die deutschen Datenschutzbehörden die Regelungen bei der Verhängung von DSGVO-Bußgeldern nicht für anwendbar (siehe DSK Kurzpapier Nr. 2, S. 2). Die DSK hatte den Bundesgesetzgeber sogar aufgefordert, die §§ 30, 130 OWiG klarstellend vom Anwendungsbereich des § 41 BDSG auszunehmen (siehe DSK Entschließung Nr. 97, S. 2), was jedoch nicht geschehen ist.

Es ist zu erwarten, dass die deutschen Datenschutzbehörden im Streitfall ähnlich der österreichischen Behörde im vorliegenden Fall trotzdem argumentieren werden, dass das Erfordernis aufgrund unionsrechtlicher Grundsätze entfalle. Für die Behörde stellt es nämlich einen erheblich höheren Ermittlungsaufwand dar, den Verstoß einer solchen Führungsperson zuzuordnen. Zudem wären die Datenschutzbehörden verpflichtet, im Bußgeldbescheid den Verstoß des Unternehmens auf das konkrete Handeln einer konkreten Leistungsperson zu stützen und diese zu bezeichnen. Meist ist dazu ein umfangreicher Einblick in die internen Abläufe des Unternehmens erforderlich. Nicht selten scheitern Verfahren an einer mangelnden tatsächlichen Feststellung dieser Punkte.

Gerichtlich ist Frage nach der Anwendbarkeit der §§ 30, 130 OWiG auf Grundlage von Art. 83 DSGVO ergangene Bußgeldbescheide in Deutschland allerdings noch längst nicht abschließend entschieden. Tatsächlich sprechen viele Argumente dafür, dass auch bei Verhängung von DSGVO-Bußgeldern die Regelungen der §§ 30, 130 OWiG Anwendung finden müssen. Die vom VwGH angebrachten Argumente zur Auslegung von Art 83 DSGVO stützen diese Auffassung zusätzlich.

Ausblick

Auch in Deutschland werden sich die Gerichte in den nächsten Jahren verstärkt mit Bußgeldbescheiden auf Grundlage der DSGVO beschäftigen müssen. Da es sich bei der DSGVO um ein neues Gesetzgebungswerk handelt, stellen die Verfahren alle Beteiligten vor neue Herausforderungen.

Das vorliegende Verfahren hat einen wichtigen Lichtstrahl in das Dunkel des Zusammenspiels zwischen der DSGVO und den nationalen Bußgeldregelungen geworfen. Es hätte dazu allerdings in deutlich höherem Maße beitragen können, hätte der VwGH die Frage des Verhältnisses von unionsrechtlichem und nationalem Verfahrensrechts dem EuGH zur Prüfung vorgelegt. Solange grundlegende Fragen wie die nach der Anwendbarkeit des Schuldprinzips noch nicht höchstrichterlich entschieden sind, sollten diese in jeder Strategie zur Verteidigung gegen DSGVO-Bußgelder indes Berücksichtigung finden.

Es ist schließlich nicht absehbar, dass sich die Frage durch das geplante Verbandssanktionengesetz (VerSanG-E) erledigen wird. Denn § 3 VerSanG-E stellt in seiner gegenwärtigen Entwurfsfassung vom 16. Juni 2020 wieder auf die Begehung einer Straftat durch eine Leitungsperson oder die Verletzung einer Aufsichtspflicht ab.

Wir danken unserem wissenschaftlichen Mitarbeiter Timm Smid für seine Unterstützung bei der Erstellung dieses Artikels.