Unternehmen haftet für die Datenschutzverstöße der Mitarbeiter

​veröffentlicht am 29. Januar 2021; Autoren: Christoph Naucke, Maximilian S. Dachlauer

[Quelle: Urteil LG Bonn vom 11.11.2020 - 29 OWi 1/20]

Nach Ansicht der Datenschutzkonferenz (DSK) haften Unternehmen für Datenschutzverstöße eines jeden Mitarbeiters, unabhängig davon, welche Position dieser innerhalb des Unternehmens hat. Das Landgericht Bonn hat in seinem aktuellen Urteil über die Bußgeldhöhe gegen den Telekomanbieter 1&1 diese Ansicht ausdrücklich bestätigt.

Mit Inkrafttreten der DS-GVO wurden neue Maßstäbe in Bezug auf die Höhe von Bußgeldern bei Datenschutzverstößen gesetzt. Gegen Unternehmen können Geldbußen in Höhe von bis zu 20 Mio. EUR bzw. bis zu 4 Prozent des gesamten erzielten Jahresumsatzes verhängt werden. Inwieweit ein Unternehmen für die datenschutzrechtlichen Verstöße jedes einzelnen Mitarbeiters haftet oder ob eine Haftung nur bei Fehlverhalten von Führungspersonen besteht, ist immer wieder, insbesondere auch in Deutschland, strittig. Hintergrund ist die Frage des sog. Anwendungsvorrangs der DS-GVO. Zudem fehlt eine eindeutige Regelung im deutschen Recht.

Art. 83 DS-GVO regelt die allgemeinen Bedingungen, die sich auf die Verhängung von Geldbußen beziehen. Welche Voraussetzungen erfüllt sein müssen, damit einem Unternehmen die Verstöße der Mitarbeiter zuzurechnen sind, ergibt sich daraus jedoch nicht eindeutig.

Die deutsche Datenschutzgesetzgebung läuft auf eine Einschränkung der Zurechnung hinaus. Nach § 41 BDSG findet auf Verstöße gem. Art. 83 Abs. 4 bis 6 DS-GVO – mit Einschränkungen – das Ordnungswidrigkeitengesetz (OWiG) Anwendung. Nach §§ 30, 130 OWiG haftet ein Unternehmen nur, wenn dessen Führungspersonen oder Organe schuldhaft handeln. Die Haftung des Unternehmens für das datenschutzrechtliche Fehlverhalten eines Mitarbeiters wäre gem. § 41 BDSG i. V. m. §§ 30, 130 OWiG somit nur möglich, wenn dieser der Leitungsebene innerhalb des Unternehmens angehört. Das Unternehmen würde demnach nicht für die Verstöße von „normalen” Mitarbeitern auf niedrigeren Hierarchiestufen haften.

Diese nationale Regelung wird von den Datenschutzaufsichtsbehörden bereits seit April 2019 beanstandet. Die Datenschutzkonferenz (DSK) vertritt die Ansicht, dass Unternehmen bei schuldhaften Datenschutzverstößen eines jeden Mitarbeiters im Rahmen von Art. 83 DS-GVO haften müssen (DSK-Entschließung der 97. Konferenz vom 03.04.2019). Dabei müssen die Mitarbeiter nicht als gesetzliche Vertreter oder in leitender Position für das Unternehmen agieren. Diese Haftung leitet die DSK aus der Anwendung des funktionalen Unternehmensbegriffs, der sich aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) und damit aus supranationalem EU-Recht ergibt, ab. Die Rechtsprechung zum funktionalen Unternehmensbegriff besagt, dass Unternehmen für das Fehlverhalten eines Mitarbeiters auch dann haften müssen, wenn es sich nicht um eine Leitungsperson handelt. Hiervon ausgenommen seien lediglich Konstellationen, bei denen es sich um einen Mitarbeiterexzess handele. Die DSK forderte die Bundesregierung bereits mit dieser Entschließung im Jahr 2019 auf, die nationale Norm des § 41 BDSG dem europäischen Recht anzupassen und die §§ 30, 130 OWiG auf Datenschutzverstöße nicht anzuwenden.

Die aktuelle Entscheidung des LG Bonn im Rahmen eines Bußgeldverfahrens gegen das Telekommunikationsunternehmen 1&1 (Urteil v. 11.11.2020 - 29 OWi 1/20) bestätigt nun diese Auffassung der Aufsichtsbehörden. Das Gericht hat entschieden, dass das Unternehmen für einen Datenschutzverstoß gem. Art. 83 DS-GVO haftet, unabhängig davon, ob der Mitarbeiter, der den Datenschutzverstoß beging, eine Leitungs- oder Führungsposition bekleidet oder nicht. Das LG geht somit von einem Anwendungsvorrang des Art. 83 DS-GVO aus.

Nach Ansicht des LG würde eine Anwendung des § 30 OWiG gegenüber dem Haftungsmodell der DS-GVO zu Einschränkungen der Bußgeldverhängung führen, wenn beim Feststehen eines Datenschutzverstoßes erst intern der Verantwortliche gefunden werden müsse. Zusätzlich würde in einem solchen Fall die Gefahr einer europaweiten unterschiedlichen Sanktionierungspraxis im Rahmen von Datenschutzverstoßen bestehen. Könnten die Mitgliedsstaaten die Bußgeldtatbestände in Art. 83 Abs. 4 bis 6 DS-GVO durch die Anwendung eigener Rechtsvorschriften (im vorliegenden Fall durch die deutsche Norm des § 130 OWiG) einschränken, wären zentrale Ziele - Vereinheitlichung sowie gleichmäßige und effektive Sanktionierung auf der Grundlage europaweit einheitlicher Vorschriften - gefährdet.

Unabhängig von der Tatsache, dass das Gericht die Bußgeldhöhe gegenüber dem zunächst von der Aufsicht verhängten Bußgeld erheblich reduzierte (von ursprünglich 9.550.000 Euro auf lediglich 900.000 Euro), folgte es jedoch nicht der Argumentation, dass der Verstoß 1&1 deswegen nicht zuzurechnen sei, weil das Fehlverhalten nicht von einer Führungskraft ausgegangen sei.

Im Ergebnis bestätigt dieses Urteil, dass Unternehmen aller Branchen, also auch Sozialunternehmen, Krankenhäuser oder auch Pflegeeinrichtungen, mit angemessenen organisatorischen Maßnahmen sicherstellen müssen, dass ihre Mitarbeiter sich datenschutzkonform verhalten. Ein Verweis darauf, dass ein evtl. Datenschutzverstoß „lediglich” von einem Mitarbeiter ohne Führungsverantwortung begangen worden sei, wirkt sich in einem Bußgeldverfahren nicht zugunsten des Verantwortlichen aus.