DSGVO-Bußgeldbescheide dürfen in Gänze an Dritte grundsätzlich nicht vollständig herausgegeben werden. Allenfalls hinsichtlich allgemeiner Ausführungen (hier: Zumessung der Geldbuße) dürfen Dritte einsehen (LG Hamburg, Beschl. v. 28.10.2021 - Az.: 625 Qs 21/21 OWi).
Im Oktober 2020 verhängte der Hamburgische Datenschutzbeauftragter wegen massiver DSGVO-Verstöße gegen das bekannte Textilhandelsunternehmen H&M ein Bußgeld iHv. 35,3 Mio. EUR, vgl. unsere Kanzlei-News v. 02.10.2020.
Nun verlangten mehrere Dritte, eine Kopie des Bußgeldbescheides zu erhalten und beantragten eine entsprechende Akteneinsicht bei der Behörde. Der Hamburgische Datenschutzbeauftragter gewährte diese.
Dagegen wehrte sich die betroffene Firma vor Gericht und berief sich dabei auf das Vorliegen von Geschäftsgeheimnissen und dem Recht auf informationelle Selbstbestimmung. Das Unternehmen bekam nun vor dem LG Hamburg weitgehend Recht: Bis auf den Abschnitt hinsichtlich der allgemeinen Ausführungen (hier: Zumessung der Geldbuße) dürfe der Bußgeldbescheid nicht an unbeteiligte Dritte ausgehändigt werden.
"Wie der HmbBfDI in dem angefochtenen Bescheid (...) zutreffend ausführt, unterliegen die einzelnen Bestandteile des Bußgeldbescheids (...) für sich bereits dem Schutz von Betriebs- und Geschäftsgeheimnissen der Betroffenen. Dies betrifft sämtliche in dem Bescheid (...) enthaltenen Unternehmenskennzahlen (insb. Kennzahlen zur Mitarbeiterstruktur, Umsatzzahlen und sonstigen finanziellen Kennziffern) sowie Inhalte zu Arbeitsabläufen- und -organisation, die überwiegend bereits in der dem angegriffenen Bescheid vom 28. Januar 2021 als Anlage 1 beigefügten Fassung des Bußgeldbescheides geschwärzt worden waren.(...)."
Und weiter:
"Die in dem Bußgeldbescheid (...) enthaltenen Informationen sind inhaltlich überwiegend geeignet, die Markt- und Wettbewerbssituation mittelbar-faktisch zum wirtschaftlichen Nachteil der Betroffenen zu verändern.
Aus dem Bußgeldbescheid geht das konkret der Betroffenen zu 1 vorgeworfene Fehlverhalten der Führungskräfte aus dem C. S. C. in N. hervor. Dabei handelt es – auch aus Laiensphäre – um schwerwiegende Verstöße gegen die BSDG, deren Veröffentlichung geeignet ist, den Ruf von H. als Unternehmen zu schädigen und eine Prangerwirkung zu entfalten.
Die Gefahr einer Prangerwirkung für das gesamte Unternehmen besteht dabei insbesondere, weil sich aus dem Bußgeldbescheid erstmals eine vollständige Offenlegung der Firma der Betroffenen zu 2 als weitere Beteiligte des Bußgeldverfahrens ergibt, obwohl sie selbst – wie sich aus dem Inhalt des Bußgeldbescheides ergibt und auch vom HmbBfDI selbst vorgetragen wird – die Verstöße nicht begangen hat.
Eine solche Nennung der Betroffenen zu 2 im Zusammenhang mit den vorgeworfenen Datenschutzverstößen birgt erstmals die Gefahr einer erheblichen Rufschädigung für den gesamten Konzern der Betroffenen zu 2 und nicht nur für die in N. ansässige Betroffene zu 1. Dies ist auch geeignet, sich auf den Unternehmenswert insgesamt auszuwirken.
Soweit der Inhalt des Bußgeldbescheides veröffentlicht wird, können bisherige Geschäftspartner der Betroffenen die mitgeteilten Informationen zum Anlass nehmen, aus Sorge vor einer eigenen Rufschädigung von einer weiteren Zusammenarbeit mit den Betroffenen Abstand zu nehmen. Potentielle neue Geschäftspartner können durch die mitgeteilten Informationen verschreckt werden und sich vorsorglich für die Inanspruchnahme anderer „unbelasteter“ Geschäftspartner entscheiden.
Zudem können den Betroffenen die eigene Tätigkeit dadurch erschwert werden, dass zum einen ihr Ruf im Kreis der Verbraucher in Mitleidenschaft gezogen wird und sich dies auf deren Kaufverhalten auswirken kann, obwohl der Bußgeldbescheid nicht unmittelbar das Verhalten gegenüber den Kunden selbst betrifft. Dafür spricht, dass viele Konsumenten Wert darauf legen, dass Unternehmen bestimmte Wertestandards einhalten, und zwar auch betreffend den Umgang mit ihren eigenen Mitarbeitern. Zum anderen könnte die Veröffentlichung des Bußgeldbescheids auch potentielle Arbeitnehmer von einer Bewerbung bei H. abhalten."
Daran ändere auch nichts, dass über die Datenschutzverstöße bereits in einer Pressemitteilung publik wurden:
"Jedenfalls enthält der Bußgeldbescheid eine Vielzahl an Informationen zu den Verstößen und zu der Berechnung des Bußgeldes und insbesondere zur Einbeziehung der Betroffenen zu 2, die über den Inhalt der Pressemitteilung und auch über die Inhalte der bisherigen Presseberichterstattung, die sich – soweit ersichtlich – auf Vorgänge am Standort der Betroffenen zu 1 in N. beschränkt hat, hinausgehen und daher bei einer – zu erwartenden – Veröffentlichung derselben einen intensiveren Eingriff in die Rechte der Betroffenen darstellen.
Insbesondere entsprechen auch die nunmehr mit Schriftsatz des HmbBfDI vom 12. Oktober 2021 eingereichten Presseartikel in ihrer Detailtiefe nicht den Angaben in dem Bußgeldbescheid selbst."
Der Bußgeldbescheid dürfe daher in Gänze nicht herausgegeben werden. Erlaubt sei einzig, die Weitergabe des Abschnitts zur Zumessung der Geldbußen-Höhe:
"Einzig in Betracht kommt eine Teilübermittlung des Bußgeldbescheides vom 30.09.2020 in Bezug auf die Passage „Zumessung der Geldbuße“ auf Bl. 9 unten bis Seite 10, 3. Absatz, 1. Halbsatz „Anknüpfungspunkt ist daher der gesamte Umsatz im Onlinehandel“. Das berechtigte wissenschaftliche und berufliche Interesse der auskunftssuchenden Antragssteller dürfte in Bezug auf diesen Abschnitt das Interesse der Betroffenen überwiegen, da er lediglich allgemeine Ausführungen über die Verwaltungspraxis des HmbBfDI betreffend den Anknüpfungspunkt der Zumessung der Geldbuße bei Datenschutzverstößen innerhalb eines Konzerns beinhaltet und klar daraus hervorgeht, dass allein der Betroffenen zu 1 Verstöße gegen das BDSG vorgeworfen werden."
Anmerkung von RA Dr. Bahr:
Das LG Hamburg lässt in der Entscheidung auch durchblicken, dass es erhebliche Zweifel an der Rechtskonformität der damaligen Pressemitteilung des Hamburgische Datenschutzbeauftragten hat:
"Es kommt nicht darauf an, ob und inwieweit die Pressemitteilung des HmbBfDI überhaupt hätte ergehen dürfen, wogegen unter Berücksichtigung obiger Ausführungen spricht, dass sie einem Grundrechtseingriff als funktionales Äquivalent gleichkommen dürfte und insoweit regelmäßig der Rechtfertigung durch eine gesetzliche oder verfassungsunmittelbare Ermächtigungsgrundlage bedarf (vgl. insoweit für den Fall einer Pressemitteilung durch die Bundesnetzagentur – OVG Münster, Beschluss vom 17.05.2021 – 13 B 331/21), an welcher es im BDSG an für Pressemitteilungen der Aufsichtsbehörde fehlt (vgl. hierzu Stulz-Herrnstadt/Jeschke: Grenzen der behördlichen Öffentlichkeitsarbeit bei Unternehmensbußgeldern, GRUR-Prax 2021, 499)."
Der Fall zeigt einmal mehr, dass die Nennung von Firmen-Namen in behördlichen Pressemitteilungen in Zusammenhang mit DSGVO-Verstößen und sonstigen Bußgeldverfahren nicht selten rechtswidrig ist. Das OVG Münster hatte bereits Mitte 2021 festgestellt, dass die Bundesnetzagentur bei Bußgeldverfahren nicht namentlich über betroffene Firmen berichten darf, vgl. unsere Kanzlei-News v. 28.05.2021.