Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

UPDATE + Volltext: LG Berlin stellt DSGVO-Bußgeld-Verfahren iHv. 14,5 Mio. EUR gegen Deutsche Wohnen ein

Vor kurzem hat bekanntlich das LG Berlin das Bußgeldverfahren iHv. 14,5 Mio. EUR gegen die Deutsche Wohnen SE  eingestellt, vgl. dazu unsere Kanzlei-News v. 24.02.2021. Bislang waren die Gründe für diese Entscheidung unklar. Nun liegt die gerichtliche Entscheidung im Volltext vor.

Hintergrund der Verhängung des Bußgeldes war die Ansicht der  Berliner Beauftragten für Datenschutz und Informationsfreiheit, dass die Deutsche Wohnen SE  massiv gegen die DSGVO verstoßen haben soll, vgl. dazu unsere Kanzlei-News v. 06.11.2019. Daraufhin verhängten die Datenschützer bekanntlich gegen die Firma selbst ein Bußgeld iHv. rund 14,5 Mio. EUR.

Dies stufte das LG Berlin (Beschl. v. 18.02.2021 –  Az.: (526 OWi LG) 212 Js-OWi 1/20 (1/20) als rechtswidrig ein. Denn eine juristische Person könne nicht Betroffene eines Bußgeld-Verfahrens sein: 

"Eine juristische Person kann indes nicht Betroffene in einem Bußgeldverfahren, auch nicht in einem solchen nach Artikel 83 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung oder DS-GVO), sein.

Denn eine Ordnungswidrigkeit kann nur eine natürliche Person vorwerfbar begehen. Der juristischen Person kann lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten (der natürlichen Personen) zugerechnet werden. Sie kann deshalb im Bußgeldverfahren nur Nebenbeteiligte sein. Die Verhängung einer Geldbuße gegen sie ist in § 30 OWiG geregelt, der über § 41 Absatz 1 BDSG auch für Verstöße nach Artikel 83 Absatz 4 bis 6 DS-GVO Anwendung findet. Danach kann entweder in einem einheitlichen Verfahren gegen die juristische Person eine Geldbuße festgesetzt werden, wenn wegen der Tat des Organmitgliedes oder Repräsentanten, also der natürlichen Person, gegen diese ein Bußgeldverfahren durchgeführt wird, oder aber nach § 30 Absatz 4 OWiG in einem selbständigen Verfahren.

Voraussetzung ist dann freilich, dass wegen der Tat des Organmitgliedes oder Repräsentanten der juristischen Person ein Verfahren nicht eingeleitet oder ein solches Verfahren eingestellt wird. Allerdings muss, da die juristische Person selbst eine Ordnungswidrigkeit nicht begehen kann, auch in diesem sogenannten selbständigen Verfahren eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden."

Mit anderen Worten: Gegen eine juristische Person könnten nur dann DSGVO-Bußgelder erlassen werden, wenn bei einzelnen Verantwortlichen der Firma (z.B. Vorstand, Geschäftsführer) das persönliche Verschulden erfasst worden sei.

Eine solche Ermittlung der persönlichen Verantwortlichkeit hätten die Berliner Datenschützer komplett unterlassen. Das Gericht äußert sich zu diesem Versagen der Behörde sehr deutlich:

"Es ist überdies lediglich pauschal dargetan worden, dass der Nachweis der Begehung einer Ordnungswidrigkeit durch das Erfordernis des Nachweises einer pflichtwidrigen Organhandlung i. S.v. §§ 30, 130 OWiG erschwert sei. Nicht dargetan ist indessen, dass sie den handelnden Aufsichtsbehörden dadurch nicht möglich wäre.

Es ist im hiesigen Falle im Besonderen verwunderlich, dass die verfahrensgegenständlichen Verstöße gegen Datenschutzgesetze durch die Behörde bereits im Jahre 2017 - und damit vor Inkrafttreten der DS-GVO - festgestellt worden sind, verschiedene Vor-Ort Termine stattgefunden haben, Auskünfte, etwa über technische Details der Datenverarbeitung verlangt worden sind, und die Betroffene auch entsprechende Auskünfte erteilt hat, dass jedoch von der Behörde keine hinreichenden Ermittlungen zu den unternehmensinternen Verantwortlichkeiten für die beanstandeten Verstöße erfolgt sind.

In diesem Falle dürfte es naheliegen, dass bereits eine Offenlegung der Organisationsstruktur im Unternehmen der Betroffenen zu einer Ermittlung von für die Datenverarbeitungsvorgänge verantwortlichen Personen geführt hätte und so möglicherweise etwa eine Aufsichtspflichtverletzung hätte dargelegt werden können. Vor diesem Hintergrund ist nicht ersichtlich, dass unter Beachtung der §§ 30, 130 OWiG keine wirksamen und abschreckenden Sanktionen verhängt werden können."

Das Gericht setzt sich auch mit der gegenteiligen Rechtsauffassung auseinander, nach der Verhängung eines juristische Person doch möglich sein soll und begründet ausführlich, warum es diesen Standpunkt ablehnt.

Inzwischen hat nach Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit  in ihrem Auftrag die Staatsanwaltschaft Berlin Beschwerde gegen die Einstellung eingelegt. Der Beschluss des LG Berlin wird damit nicht rechtskräftig, sondern wird nun durch die höhere Instanz überprüft.

Anmerkung von RA Dr. Bahr:
Anders als die Berliner Datenschutzbehörde dies in ihrer Pressemitteilung darstellt, ist die Frage der Zurechenbarkeit in der juristischen Welt sehr umstritten und keineswegs klar. Komplett ignoriert wird dabei auch die Entscheidung des österreichische Bundesverwaltungsgericht, das bereits aus dem identischen Grund  das DSGVO-Bußgeld (18 Mio. EUR) gegen die Österreichische Post aufgehoben hat (BVerwG, Erkenntnis v. 26.11.2020 - Az.: W258 2227269-1), vgl. dazu unsere Kanzlei-News v. 03.12.2020.

Es bleibt abzuwarten, wie die nächsthöhere gerichtliche Instanz nun entscheiden wird.

Eines ist aber bereits heute klar: Zukünftig werden sämtliche Datenschutzbehörden verstärkt darauf achten, jeweils das persönliche Fehlverhalten der einzelnen Verantwortlichen zu ermitteln, um sich nicht mehr mit dieser Problematik auseinandersetzen zu müssen.

Geschäftsführer,  Vorstände und andere Verantwortliche eines Unternehmens werden also verstärkt Gegenstand der Ermittlungen sein. Im vorliegenden Fall wurden derartige Ermittlungen komplett unterlassen.

Rechts-News durch­suchen

07. Oktober 2024
Online-Plattformen (wie z.B. Facebook) dürfen nicht uneingeschränkt personenbezogene Daten zur zielgerichteten Werbung verwenden, auch wenn sensible…
ganzen Text lesen
04. Oktober 2024
Die Datenschutzkonferenz hat ihre Richtlinien zur Übertragung von Kundendaten bei Asset Deals überarbeitet und stiftet damit mehr Verwirrung als…
ganzen Text lesen
01. Oktober 2024
Ein Social Media-Nutzer hat keinen Anspruch darauf, dass seine Daten ausschließlich in Europa gespeichert werden, wenn der Betreiber international…
ganzen Text lesen
30. September 2024
Die Irische Datenschutzbehörde hat Meta wegen unverschlüsselter Speicherung von Passwörtern eine DSGVO-Geldbuße von 91 Mio. Euro auferlegt.
ganzen Text lesen

Rechts-News durchsuchen