Datenschutz : Schuld und Daten
- -Aktualisiert am
Bild: dpa
Die Verhängung von Bußgeldern gegen Unternehmen bleibt trotz DSGVO und dem geplante Verbandssanktionengesetz schwierig. Die Gründung einer europäische Datenschutzbehörde könnte eine Lösung darstellen.
Seitdem die Datenschutz-Grundverordnung (DSGVO) in Kraft ist, können Datenschutzverstöße mit Millionen-Bußgeldern geahndet werden. Dies ist in Deutschland jedoch alles andere als einfach. Daran wird auch das von der Bundesregierung geplante Verbandssanktionengesetz nichts ändern. Bußgelder können hierzulande nämlich nur nach den strengen Regeln des Strafrechts verhängt werden. Strafen und Bußgelder richten sich grundsätzlich gegen Personen, denen ein vorsätzliches oder fahrlässiges Handeln nachgewiesen werden muss. Nur in Ausnahmefällen kann ein Bußgeld gegen Unternehmen verhängt werden, wenn entweder Leitungspersonen Straftaten oder Ordnungswidrigkeiten begangen haben oder ihre Aufsichtspflichten verletzt haben (§§ 30 und 130 Ordnungswidrigkeitengesetz, OWiG).
Bei Rechtsverstößen ist es für die Behörden nicht immer einfach, den Nachweis zu führen, dass eine Person aus der Leitungsebene an einer Tat beteiligt war. Verletzt ein nachgeordneter Mitarbeiter umweltrechtliche Vorschriften, muss das Umweltamt beweisen, dass der Mitarbeiter auf Anweisung einer Leitungsperson handelte oder dass der Verstoß das Ergebnis unzureichender betrieblicher Aufsichtsmaßnahmen war. Nicht selten heben Gerichte Bußgeldbescheide gegen Unternehmen auf, weil es an aussagekräftigen Feststellungen zu den handelnden Personen oder zu der betriebsinternen Aufsicht fehlt.
Die §§ 30 und 130 OWiG sind auch von den Datenschutzbehörden zu beachten. Die DSGVO überlässt das Verfahrensrecht den Mitgliedstaaten, und das Bundesdatenschutzgesetz (BDSG) bestimmt, dass für Bußgeldverfahren auch die §§ 30 und 130 OWiG gelten. Kommt es daher in einem Betrieb zu einer Datenpanne und landen beispielsweise Personalakten im Hausmüll, können die Datenschutzbehörden nicht ohne weiteres Bußgelder gegen das Unternehmen verhängen. Nur wenn Aufsichtsfehler oder die Beteiligung eines leitenden Mitarbeiters festgestellt werden können, kommt ein Bußgeld in Betracht.
Das geplante Verbandssanktionengesetz wird an diesem Zustand nichts ändern. Es soll den Strafrahmen erheblich erweitern und Geldstrafen bis zur Höhe eines Zehntels des durchschnittlichen Jahresumsatzes ermöglichen. Zudem sollen die Behörden zur Verfolgung von Straftaten verpflichtet werden. Soweit es jedoch um reine Ordnungswidrigkeiten geht, sind keine wesentlichen Änderungen der §§ 30 und 130 OWiG geplant.
Die Hürden des OWiG werden sich von den Datenschutzbehörden nicht immer überwinden lassen. Sie fußen auf dem Schuldprinzip: Keine Strafe ohne (individuelle) Schuld. Weder das Schuldprinzip noch das deutsche Verfahrensrecht werden durch die DSGVO außer Kraft gesetzt. Dies wäre auch gar nicht möglich, da es an einer Zuständigkeit der EU für das Strafverfahrensrecht der Mitgliedstaaten fehlt. Man wird somit damit leben müssen, dass die Verhängung von Bußgeldern gegen Unternehmen in Deutschland nicht ganz so einfach ist, wie dies nach Inkrafttreten der DSGVO zunächst erwartet worden war.
Gäbe es eine europäische Datenschutzbehörde mit Bußgeldbefugnissen, müssten sich deutsche Unternehmen größere Sorgen machen. Wenn die EU-Kommission Bußgelder wegen Kartellrechtsverstößen verhängt, muss sie keine vergleichbaren Beschränkungen beachten. Das Schuldprinzip spielt in der Praxis der europäischen Bußgeldverfahren keine Rolle. Eine mächtige europäische Datenschutzbehörde, die saftige Bußgelder verhängen kann, sieht die DSGVO jedoch nicht vor.
Für die Datenschutzbehörden bedeuten die §§ 30 und 130 OWiG eine nicht zu unterschätzende Belastung. Denn sie müssen als Ermittlungsbehörden innerbetriebliche Vorgänge aufklären und können dabei nicht immer auf die bereitwillige Mitwirkung der Unternehmen zählen. Dies ist mit Aufwand verbunden, der für die Behörden nicht immer zu leisten sein wird, zumal sie bisweilen mit höchst bescheidenen personellen und finanziellen Mitteln ausgestattet sind. Nicht wenige DSGVO-Verfahren werden daher an den Hürden des deutschen Bußgeldrechts scheitern.
Niko Härting
Der Autor ist Gründer und Partner der Kanzlei Härting.
