Aktuell beschäftigt sich der EuGH im Rahmen eines Vorabentscheidungsverfahrens (C-807/21) mit der Frage, welcher Grundlage zufolge Aufsichtsbehörden Geldbußen wegen Verstößen gegen die DSGVO gegen etwaige Unternehmen verhängen können. Das Verfahren ist anhängig. Dabei wurde unmittelbar nach der mündlichen Verhandlung von der Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) eine ausführliche Stellungnahme zu dem Verfahren veröffentlicht. Wobei es dabei geht, erklären wir im Folgenden.
Forderung des DSK einer verschuldensunabhängigen Bußgeldhaftung
In der Stellungnahme zu dem Verfahren wird von der DSK dabei eine verschuldensunabhängige Bußgeldhaftung von Unternehmen nach der Struktur des EU-Kartellrechts als „ eine vom europäischen Gesetzgeber gewollte Erleichterung für die Datenschutzaufsichtsbehörde“ bezeichnet. Dabei soll vor allem schon eine objektive Pflichtverletzung ausreichend sein, die diesbezüglich als „strict liability“ zu bezeichnen ist.
Welche Auswirkungen hätte das für das Datenschutzrecht?
Die grundlegenden Rahmenbedingungen des Datenschutzrechts werden mit der verschuldensunabhängigen Haftung praktisch abbedungen. Denn in Art. 83 VIII DSGVO wird gerade auf etwaige Verfahrensgarantien des Rechts der Mitgliedstaaten verwiesen. Und in Deutschland ist im Rahmen des Bußgeldrechts gerade Voraussetzung, dass ein zurechenbar schuldhafter Verstoß einer Leitungsperson des Unternehmens vorliegt.
Was meint die DSK mit „eine vom europäischen Gesetzgeber gewollte Erleichterung für die Datenschutzaufsichtsbehörde“?
Mit der Forderung einer „vom europäischen Gesetzgeber gewollten Erleichterung für die Datenschutzaufsichtsbehörde“ wird gerade der anhängige Fall beim EuGH als Exempel statuiert, nach der eine verschuldensunabhängige Haftung greifen soll. Das dem EuGH zur Feststellung des Verschuldens und zur Zurechnung schuldhafter Handlungen von Unternehmensvertretern eingereichte Verfahren wurde zuvor vom LG Berlin bereits entschieden. Das LG Berlin stellte das Verfahren aber ein. Grund dafür war, dass der Bußgeldbescheid gegen das Unternehmen unter solch gravierenden Mängeln leide, dass er nicht als Grundlage des Verfahrens dienen könne (NJW 2021, 2600 – Ls.).
Der Bescheid müsste nämlich hinreichende Feststellungen zu den zur Last gelegten Datenschutzverstößen beinhalten, was in dem Bescheid jedoch nicht ersichtlich war. Weder Angaben zur konkreten Tathandlung, noch worauf der Vorwurf eines Verstoßes gegen datenschutzrechtliche Grundlagen gestützt wird, ist aus dem Bescheid hervorgegangen. Dabei hat die Behörde sich nicht bezüglich eines Verschuldens des Unternehmens zum Beispiel im Rahmen einer Aufsichtspflichtverletzung, welches diesem auch zu zurechenbar gewesen sein müsste, nicht geäußert.
Wie sieht es in der Praxis aus?
Gerade auch in der deutschen Rechtspraxis wird Datenschutzaufsichtsbehörden die Möglichkeit gegeben, rechtskräftig gegen Unternehmen zu handeln und vorzugehen. Dabei trifft jedoch vor allem die Aufsicht auf die Pflicht, die Pflichtverletzung und die damit verbundene Sanktion zu begründen. Schlussfolgernd ist festzuhalten, dass „eine vom europäischen Gesetzgeber gewollte Erleichterung für die Datenschutzaufsichtsbehörde“ und damit eine verschuldensunabhängige Haftung als stärkere Sanktion dem von Schuldgrundsatz und Rechtsstaatsprinzip zuwiderläuft.
Bildquelle: Bild 2388500 von jessica45 auf pixabay