post_thumbnail

DS-GVO Bußgeld gegen Unternehmen

Das Landgericht Bonn und das Landgericht Berlin entschieden kürzlich über die Anwendung der Unternehmerhaftung und die Bemessung des Bußgelds bei Verstößen gegen die DS-GVO.

LG Bonn

Der Entscheidung ging ein Bußgeldverfahren des Bundesdatenschutzbeauftragen(BfDI) voran, welcher gegen einem Telekommunikationsanbieter ein Bußgeld (Art. 83 DS-GVO) in Höhe von EUR 9.550.000,00 verhängte.

Das Telekommunikationsunternehmen betrieb ein Callcenter welches die Kunden durch die Telefonnummer/Kundennummer identifizierten und durch das Geburtsdatum authentifizierten. Eine Regelung für Dritte gab es nur in Bezug auf Betreuer. Dritte galten jedoch schon als legitimiert, soweit sie die Telefon-, Kundennummer oder den Namen sowie das Geburtsdatum des Kunden kannten.

Die Möglichkeit nutze eine ehemalige Lebensgefährtin eines Kunden aus um die bewusst geänderte Mobilfunknummer des Kunden zu erfahren und ihn daraufhin nachzustellen. Der BfDI wurde durch die Polizei informiert und verhängte das Bußgeld. Gegen dieses ging das Unternehmen vor.

Zunächst entschied das Gericht, dass das Unternehmen unmittelbar in die Haftung genommen werden könnte. Das Gericht ist der Ansicht, dass das Unternehmen wie im supranationalen europäischen Kartellrecht unmittelbar hafte.

„Das deutsche Sanktionsrecht kennt eine solche unmittelbare Haftung von Unternehmen bislang nicht“

Im deutschen Recht gilt bei Ordnungswidrigkeiten gemäß § 30 Abs. 1 OWiG das Rechtsträgerprinzip. Hiernach knüpft sich die Geldbuße stets an ein schuldhaftes Fehlverhalten einer natürlichen Person an und erst auf Rechtsfolgenseite stehen die Unternehmen dafür ein. Das Gericht begründete die Anwendung der direkten Unternehmerhaftung auf der europäischen Gesetzgebung. Diese hätte bei Schaffung des § 83 Abs. 4-6 DS-GVO das supranationale Kartellrecht als Vorbild gehabt.

Das Unternehmen hätte hier auch schuldhaft gegen Art. 32 Abs. 1 DS-GVO verstoßen. Der Zugang zu Daten von Dritten wäre leichtfertig ermöglicht worden. Der Namen und das Geburtsdatum wären leicht zugängliche Daten, die nicht zur Authentifizierung ausreichen dürften. Allerdings sieht das LG Bonn nur wenige sensible Daten betroffen (Kontaktdaten und Bankverbindung) und daher keinen schweren Verstoß.

Das LG Bonn kürzte jedoch das Bußgeld von EUR 9.550.000 um 90 % auf EUR 900.000. Das Gericht hat hierzu aufgeführt, dass zunächst ein Bußgeld maximal in Höhe von EUR 10.000.000 oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich ist, falls dieser Betrag höher ist. Im vorliegenden Fall lag der 2 % Umsatz bei 72,6 Millionen.

„Die Geldbuße muss spürbar sein; sie darf jedoch nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen.“

Eine reine umsatzbezogene Bemessung des Bußgeldes, wie es der BfDI es vorliegend getan hat, sei jedoch unverhältnismäßig. Der Umsatz könne jedoch bei der Wirksamkeit und Spürbarkeit als Bemessungskriterium mit einbezogen werden. Weitere Kriterien seien zum Beispiel: Anzahl der Verstöße, Art der Daten, Schaden, Motiv und Vorsatz, Kooperation mit Behörden, Korrektur der Fehler, Anzahl der Verfahren, eigene Schäden.

Im vorliegenden Fall kam es dem Unternehmen zu Gute, dass es das erste Verfahren gegen sie war, nur ein Verstoß verfolgt wurde und keine sensiblen Daten betroffen waren. Darüber hinaus ist der Reputationsschaden des Unternehmens in die Berechnung mit eingeflossen, da das Bußgeldverfahren öffentlichkeitswirksam erlassen wurde.

LG Berlin

Das Landgericht Berlin hat in seinem Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20)) die unternehmerische Haftung verneint. Der § 30 OWiG müsste angewendet werden und folglich wäre ein Fehlverhalten einer natürlichen Person notwendig. Eine Ordnungswidrigkeit könne immer nur eine natürliche Person vorwerfbar begehen; der juristischen Person könne lediglich ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Vorliegend war ein Verstoß eines börsennotiertes Immobilienunternehmens, welches zu einem Bußgeldbescheid der BlnBDI in Höhe von 14.549.503,15 Euro führte. Das Unternehmen kam Löschungspflichten bei nicht mehr benötigten Daten nicht nach.

Das LG Berlin hat nun das Bußgeld für rechtswidrig erklärt. Nach Ansicht des Gerichts wäre ausschließlich eine Anwendung des § 30 OWiG möglich. Der Art. 83 Abs. 8 DS-GVO verweise auf deutsches Verfahrensrecht. In der Begründung wird eingehend die Gesetzesentstehung thematisiert und dargestellt, dass der § 30 OWiG zwar zunächst ausgenommen werden sollte, dies aber Schluss endlich nicht getan wurde. Die Behörde hätte in ihrer Begründung jedoch nicht dargestellt, dass das Verhalten einer natürlichen Person den Verstoß begründete.

„Insoweit ist die Feststellung eines vorwerfbaren Verhaltens einer natürlichen Person die notwendige Grundvoraussetzung für die Begründung einer Verantwortlichkeit des möglicherweise pflichtigen Rechtsträgers.“

Der Beschluss des LG Berlin ist im Gegensatz zum Urteil des LG Bonn noch nicht rechtskräftig geworden. Die BlnBDI hat bereits Einspruch eingelegt.

Bußgeld gegen schwedisches Modeunternehmen

Gegen ein schwedisches Modeunternehmen verhängte der Hamburger Datenschutzbeauftragte bereits ein Bußgeld in Höhe von 35.258.707,95 Euro. Die Modekette akzeptierte dieses auch und ließ die Widerspruchsfrist verstreichen. Vorliegend kam es zu Erfassungen privater Lebensumstände über einen mehrjährigen Zeitraum. Diese umfassten zum Beispiel Familienleben, Urlaub, Krankheit und Religion. Das Bußgeld wurde aufgrund der schweren Missachtung des Beschäftigtendatenschutzes hoch angesetzt.

Auswirkungen

An den Fällen sieht man, dass Verstöße gegen die DS-GVO mit hohen Bußgeldern geahndet werden können, die Bußgelder jedoch immer im Verhältnis zum Verstoß angemessen seien müssen.

Die Frage, ob eine unternehmerische Haftung oder das Rechtsträgerprinzip anzuwenden ist, bleibt umstritten und bedarf höchstrichterlicher Entscheidung. Die Aufsichtsbehörden werden die Bußgelder zumindest genauer begründen müssen, um sicherzustellen, dass die Haftung als Unternehmen direkt oder im Zuge des Rechtsträgerprinzips greift.

DSK Berechnungsmodell

Bereits im Oktober 2019 stellte die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein Berechnungsmodell vor, mit dem ein Bußgeld berechnet werden soll. Eine Bindung für Behörden oder Gerichte gibt es hierdurch jedoch nicht. Maßstab ist immer noch der Art. 83 Abs. 1 DS-GVO, somit muss das Bußgeld wirksam, angemessen und abschreckend sein.

Das DSK Berechnungsmodell beinhaltet 5 Schritte:

1. Schritt: Das betreffende Unternehmen wird einer bestimmten Größenklasse zugeordnet.
2. Schritt: Es wird der mittlere Jahresumsatz der jeweiligen Größenklasse-Untergruppe ermittelt.
3. Schritt: Der wirtschaftliche Grundwert wird ermittelt.
4. Schritt: Dieser Grundwert wird mit einem von der Schwere der Tat abhängigen Faktor multipliziert.
5. Schritt: Berücksichtigung und Anpassung des Wertes anhand täterbezogener und sonstiger, noch nicht berücksichtigter Umstände.

LG Bonn Urteil vom 11.11.2020 Az. 29 OWi 1/20

LG Berlin Beschluss vom 18.02.2021 (Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20))

Bei Fragen zum Datenschutzrecht stehen wir Ihnen gerne zur Verfügung.

MENU