Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat sich neben der Bußgeldzumessung auch zu Datenschutzverstößen geäußert, welche von Beschäftigten verursacht wurden.
Nur der Verletzungserfolg ist entscheidend
Hierzu führt es aus, dass Gegenstand der Sanktionierung für einen Datenschutzverstoß nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen ist. Es kommt mithin nur auf den Erfolg des Datenschutzverstoßes an. Im entsprechenden Bußgeldbescheid wurde daher nicht näher beschrieben, welche natürlichen Personen im Unternehmen der Betroffenen durch welche Handlungen den Datenschutzverstoß begangen haben.
Hintergrund Datenschutzverstöße von Beschäftigten
Nach dem deutschen Ordnungswidrigkeitenrecht gibt es keine unmittelbare Haftung von Unternehmen. Geldbußen setzen stets ein schuldhaftes Fehlverhalten einer vertretungsberechtigten Person, wie z.B. einem Geschäftsführer oder Vorstand, voraus. Das Verhalten irgendeines Mitarbeiters des Unternehmens reicht nach deutschem Recht daher nicht aus, um eine Bußgeld zu bekommen. Vielmehr kommt es auf das Fehlverhalten ganz bestimmter Personen in Führungs- oder Aufsichtspositionen an.
Deutsche Regeln stehen europäischen Haftungskonzept entgegen
Hierzu stellt das Gericht nun folgendes fest: Die deutschen Regelungen sind nicht mit dem europäischen Haftungskonzept in Einklang zu bringen. Für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG ist daher kein Raum.
Auffassung der DSK
Auch nach Auffassung der DSK sollen Unternehmen dabei im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Nach der Entschließung der DSK soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Daher kann dem Verantwortlichen nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.