Mehr Klarheit bei der Haftung für Datenschutzverstöße in 2023

Mit Spannung werden die Entscheidungen des EuGH in zwei Verfahren zu den Themen „Verhängung von Bußgeldern“ und „Anforderungen an einen Schadensersatzanspruch“ bei DSGVO-Verstößen erwartet.

I. Sanktionierung von Datenschutzverstößen

Datenschutzverstöße können gemäß Art. 83 Abs. 4 bis Abs. 6 DSGVO mit Bußgeldern geahndet werden. In der deutschen Rechtsprechung wird jedoch die Frage, ob das Unternehmen bei einem Verstoß ohne weitere Nachweise unmittelbar haftet oder ob zusätzlich ein schuldhafter Verstoß einer leitenden Person nachgewiesen werden muss, unterschiedlich beurteilt.

Das LG Bonn hat in seinem Urteil vom 11. November 2020 (29 OWi 1/20) die Auffassung vertreten, dass das sog. Funktionsträgerprinzip gelte. Für die Zurechnung eines Bußgeldes sei es ausreichend, dass ein objektiver Verstoß eines Mitarbeiters des Unternehmens vorliegt. Der Nachweis eines konkret handelnden Mitarbeiters oder gar einer Leitungsperson sei nicht erforderlich. Unternehmen müssen danach daher befürchten, leichter Ziel eines Bußgeldbescheides zu werden.

Anders sieht es das LG Berlin in seinem Urteil vom 18. Februar 2021 (526 OWi LG 1/20). § 41 BDSG, der das Verfahren für die Verhängung von Bußgeldern regelt, verweist auf die §§ 30, 130 OWiG. Diesen Vorschriften liegt aber das sog. Rechtsträgerprinzip zugrunde. Das Rechtsträgerprinzip besagt, dass eine Leitungsperson in Wahrnehmung ihrer Aufgaben einen schuldhaften Verstoß begangen haben muss, damit dieser dem Unternehmen zugerechnet werden kann. Wurde der Verstoß durch einen Mitarbeiter unterhalb der Leitungsebene begangen, kommt eine Zurechnung nur in Betracht, wenn die Leitungsperson ihre Aufsichtspflicht verletzt hat und diese Pflichtverletzung ursächlich für den Verstoß ist. Die Exkulpationsmöglichkeiten für Unternehmen sind nach dieser Auffassung deutlich erweitert.

Der vorstehend skizzierte Streit ist somit nicht bloß akademischer Natur, sondern hat aufgrund der grundlegend unterschiedlichen Anforderungen an die Verhängung eines Bußgeldes unmittelbar Auswirkungen auf die Wirksamkeit derartiger Bescheide. Umso erfreulicher ist es, dass das KG Berlin (3 Ws 250/21) dem EuGH die insoweit bestehenden, offenen Rechtsfragen zur Klärung vorgelegt hat.

In seiner ersten Vorlagefrage möchte es wissen, ob Art. 83 Abs. 4 bis 6 DSGVO dahingehend auszulegen ist, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf. In seiner zweiten Vorlagefrage fragt das KG Berlin, sollte die erste Vorlagefrage bejaht werden, ob Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen ist, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss oder ob für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß ausreicht („strict liability").

Die mündliche Verhandlung vor dem EuGH hat am 17. Januar 2022 stattgefunden (C-807/21), in der die Fragen kontrovers diskutiert wurden. Nach Auffassung u.a. der Kommission, des Parlaments der Niederlande und Norwegens sind die Voraussetzungen für die Verhängung eines Bußgeldes im Wesentlichen in der DSGVO geregelt. Art. 83 Abs. 8 DSGVO erlaube dem nationalen Gesetzgeber lediglich den Ablauf des Bußgeldverfahrens zu regeln, nicht aber zusätzliche materiell-rechtliche Voraussetzungen wie etwa mit § 30 OWiG zu treffen. Dieser Auffassung traten die Deutsche Wohnen (Beschuldigte im Verfahren vor dem LG Berlin), Deutschland und Estland konträr sehen. Umstritten ist ebenfalls, ob ein Verstoß schon ein Verschulden impliziert und die Vermutung dann zu widerlegen ist (Niederlande, Norwegen) oder ob die Schuld nachzuweisen ist. Die Kommission und wohl auch das Parlament würde hier bereits leichteste Fahrlässigkeit ausreichen lassen. Das Gutachten des Generalanwalts ist für den 27. April 2023 angekündigt; eine zeitnahe Entscheidung des EuGH im Anschluss wäre wünschenswert.

II. Erheblichkeitsschwelle für Schadensersatzansprüche

Neben Bußgeldern, die von den Aufsichtsbehörden verhängt werden, drohen bei Datenschutzverstößen auch Schadensersatzansprüche seitens der Betroffenen nach Art. 82 DSGVO. Voraussetzung hierfür ist, dass dem Betroffenen wegen des Verstoßes ein materieller oder immaterieller Schaden entstanden ist. Umstritten ist weiterhin, ob für einen solchen immateriellen Schaden stets eine gewisse Bagatellschwelle überschritten sein muss oder ob jeder Verstoß stets einen erstattungsfähigen Schaden auslöst. Nach deutschem allgemeinem Deliktsrecht ist Voraussetzung für eine Geldentschädigung wegen einer Persönlichkeitsrechtsverletzung, dass ein schwerwiegender Eingriff vorliegt, der nicht in anderer Weise befriedigend ausgeglichen werden könne. Ob dieser Ansatz auch für Schadensersatzansprüche gilt, die auf Art. 82 DSGVO gestützt werden, ist umstritten.

Um mehr Licht in diese Frage zu bringen, hat u.a. der österreichische Oberste Gerichtshof (OGH) dem EuGH drei Vorlagefragen vorgelegt (Rs. C‑300/219). Mit seiner ersten Frage möchte er wissen, ob bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz ausreicht. Weiter möchte er wissen, ob für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts bestehen, die beachtet werden müssten. Schließlich fragt der OGH, ob ein immaterieller Schaden voraussetzt, dass die Rechtsverletzung Konsequenzen oder Folgen von zumindest einigem Gewicht hat, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehen. Die Beantwortung dieser Fragen würden vermutlich auch die oben skizzierten hier offenen Fragen beantworten und für Rechtssicherheit sorgen.

Am 6. Oktober 2022 hat der Generalanwalt am EuGH seine Schlussanträge gestellt. Danach soll für die Anwendbarkeit des Art. 82 DSGVO ein konkreter Schaden erforderlich sein. Die bloße Verletzung datenschutzrechtlicher Vorschriften reicht nicht aus. Es gibt gerade keinen Strafschadensersatz. Der Beweis für den Schaden ist durch den Anspruchsberechtigten zu führen und keine Verschuldensvermutung.

Folgt der EuGH dem Generalanwalt wäre dies aus Sicher der Unternehmen sicherlich eine gute Nachricht, da sich oftmals reflexartigen Schadensersatzforderungen konfrontiert sehen. Eine gegenteilige Entscheidung wäre vermutlich ein Schub für die bislang noch seltenen datenschutzrechtlichen Sammelklagen.