Grundsätzlich können Verstöße gegen die Datenschutzgrundverordnung gemäß den Vorgaben aus Art. 83 Abs. 4, 5 und 6 DSGVO mit einem Bußgeld geahndet werden. Die deutschen Gerichte beschäftigt nach wie vor die Frage, ob ein Unternehmen als Verantwortlicher unmittelbar und ohne weitere Nachweise unmittelbar haftet oder nicht doch ein (schuldhafter) Verstoß eines leitenden Beschäftigten nachgewiesen werden muss.
Worum dreht sich der Streit?
Im Kern dreht sich der Streit um die Frage, ob bei der Verhängung von Bußgeldern das Funktions- oder das Rechtsträgerprinzip Anwendung findet. Bei Anwendung des Funktionsprinzips kann ein Bußgeld gegen ein Unternehmen bereits dann verhängt werden, wenn ein objektiver Verstoß eines Beschäftigten des Unternehmens vorliegt. Fordert man dagegen die Anwendung des Rechtsträgerprinzips, so könnte ein Bußgeld gegen ein Unternehmen nur dann verhängt werden, wenn nachgewiesen werden kann, dass eine Leitungsperson in Wahrnehmung ihrer Aufgabe einen schuldhaften Verstoß begangen oder ihre Aufsichtspflichten verletzt hat.
Diese Frage wird in naher Zukunft durch den Europäischen Gerichtshof (EuGH) beantwortet werden, da das Kammergericht Berlin (begrüßenswerterweise) im Wege des Vorabentscheidungsersuchens dem EuGH diese nicht ganz unwesentliche Rechtsfrage vorgelegt hat.
Datenschutzkonferenz hat sich bereits positioniert
Die Deutsche Datenschutzkonferenz (kurz DSK), der Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, hat sich in der Frage bereits positioniert und eine Pressemitteilung veröffentlicht.
Wenig überraschend hält die DSK das Funktionsträgerprinzip für anwendbar und lehnt die Anwendung des Rechtsträgerprinzips ab.
Die DSK begründet ihre Ansicht mit dem Adressatenkreis von Bußgeldern, der sich unmittelbar aus der DSGVO ergäbe und direkt auf Unternehmen abziele. Weiter führt die DSK an, dass sich aus Satz 3 des Erwägungsgrunds 150 eindeutig ergebe, dass hier das Funktionsträgerprinzip Anwendung finden müsse. Dieser sei von den Gerichten zwingend bei der Auslegung der Bußgeldvorschriften der DSGVO zu berücksichtigen.
Wann ist mit einem Urteil zu rechnen und welche Folgen hat dies für Unternehmen?
Das Gutachten des Generalanwalts, das für Ende April angekündigt wurde, wird einen ersten Hinweis liefern, wie der EuGH entscheiden könnte. In der Regel entscheidet der EuGH zeitnah nach Veröffentlichung des Gutachtens. Ein Termin zur Entscheidungsverkündung wurde jedoch noch nicht bekannt gegeben. Insofern darf die weitere Entwicklung mit Spannung erwartet werden.
Die Entscheidung des EuGH wird weitreichende Folgen für die Verhängung von Bußgeldern haben. Folgt der EuGH der Auffassung der Datenschutzkonferenz, so können wesentlich leichter Bußgelder verhängt werden. Entscheidet sich der EuGH für die Anwendung des Rechtsträgerprinzips, so müssten die Datenschutzbehörden vor Verhängung eines Bußgeldes einen Verstoß einer Leitungsperson feststellen und nachweisen. Dies stellt in der Praxis erheblich höhere Anforderungen an den Bußgeldbescheid dar als bei Anwendung des Funktionsträgerprinzips, da hier der konkrete Nachweis nicht weiter erbracht werden muss.
Am besten ist es jedoch ohnehin, es erst gar nicht zu Verstößen kommen zu lassen. Unser Datenschutz-Team berät Sie gerne und findet für Sie passgenaue und datenschutzkonforme Lösungen.
Sollte „das Kind schon in den Brunnen gefallen sein“ unterstützen wir Sie nicht minder gerne bei der Abwehr der von den Behörden gestellten Forderung.
Autor: Fabian Dechent (Rechtsanwalt)