Verstöße gegen die europäische Datenschutzgrundverordnung – DSGVO – sind keine Kavaliersdelikte und können scharf sanktioniert werden. Als eines der ersten Unternehmen bekam dies die „Deutsche Wohnen SE“ Ende 2019 zu spüren. Damals verhängte die Berliner Beauftragte für Datenschutz- und Informationsfreiheit ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Immobiliengesellschaft. Grund: In dem Archiv-System des Unternehmens wurden personenbezogene Daten von Mietern gespeichert, ohne zu prüfen, ob die Speicherung überhaupt zulässig ist. Damit habe das Unternehmen nach Ansicht der Berliner Beauftragten für Datenschutz- und Informationsfreiheit massiv gegen die DSGVO verstoßen.
Nun die Wende: Das Landgericht Berlin hat das Bußgeldverfahren gegen die Deutsche Wohnen mit Beschluss vom 18. Februar 2021 eingestellt (Az.: 526 OWi LG) 212 Js-OWi 1/20 (1/20). Der Bußgeldbescheid sei unwirksam, so das Gericht.
Bußgeldverfahren kann nicht unmittelbar gegen Unternehmen geführt werden.
Die Begründung des Gerichts hat es in sich. Nach Ansicht des LG Berlin kann eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein. Dies gilt auch in Bußgeldverfahren zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Zusammenhang mit der DSGVO. Denn eine Ordnungswidrigkeit kann nur von einer natürlichen Person vorwerfbar begangen werden, führte das LG Berlin aus. Der juristischen Person, also dem Unternehmen, kann also nur ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden.
Das bedeutet, dass zunächst bei Unternehmensverantwortlichen wie Vorstand oder Geschäftsführer ein persönliches Verschulden für den Verstoß festgestellt werden müsse. Diese persönliche Verantwortung ist von der Berliner Datenschutzbehörde aber nicht ermittelt worden.
Der Entscheidung liegt die Systematik des deutschen Ordnungswidrigkeitengesetzes (OWiG) zugrunde: § 30 OWiG ermöglicht Geldbußen gegen Unternehmen nur, wenn eine natürliche Person eine Pflicht verletzt hat.
Das Gericht setzte sich ausführlich mit der Frage auseinander, ob die DSGVO als EU-Richtlinie überhaupt durch § 30 OWiG eingeschränkt werden könne. Dies sei nicht der Fall. Vor allem deshalb, weil § 41 Abs. 1 BDSG die Anwendung des deutschen OWiG ausdrücklich anordne.
Eine andere Meinung hatte noch im November 2020 das Landgericht Bonn vertreten: Mit Urteil vom 11.11.2020 (29 OWi 1/20) entschied es, dass § 30 OWiG bei der Sanktionierung von Verstößen gegen die DSGVO keine Anwendung finde.
Staatsanwaltschaft legt Beschwerde ein
Wie zu erwarten war, ließ die Stellungnahme der Berliner Beauftragten für Datenschutz und Informationsfreiheit gegen Einstellung des Verfahrens nicht lange auf sich warten. Die Behörde sieht den Beschluss des Landgerichts Berlin nicht im Einklang mit dem Willen des europäischen Gesetzgebers. Entscheidend sei, dass ein Verstoß gegen den Datenschutz festgestellt werde und nicht die dafür ursächlichen Handlungen der verantwortlichen natürlichen Personen.
Der Beschluss des LG Berlin ist noch nicht rechtskräftig, weil die Berliner Staatsanwalt Beschwerde eingelegt hat. Die nächsthöhere Instanz muss nun entscheiden.
Wie die Entscheidung in der nächsten Instanz ausfällt, ist offen. Eine Konsequenz aus dem Fall dürfte aber sein, dass Behörden bei Datenschutzverstößen künftig stärker auf das persönlichen Fehlverhalten der verantwortlichen Personen im Unternehmen abzielen werden.