Nicht jedes rechtswidrige Verhalten ist zu bestrafen. Eine Strafe kann nur dann verhängt werden, wenn einer Person das rechtswidrige Verhalten auch persönlich zum Vorwurf gemacht werden kann, also wenn die Person zumindest fahrlässig oder sogar vorsätzlich handelt. Eine der regelmäßig auftretenden Kernfragen in Verwaltungsstrafverfahren in Zusammenhang mit der Datenschutz-Grundverordnung lautet, ob ein Unternehmen, das einen Verstoß gegen die DSGVO verursacht hat, diesen auch zumindest fahrlässig verursacht hat.

Einem Unternehmen sind die Handlungen seiner Geschäftsführung in Ausübung ihrer Führungsposition zuzurechnen. Vorwerfbares Verhalten, das zur Bestrafung führen kann, liegt vor, wenn die Geschäftsführung selbst einen DSGVO-Verstoß vorsätzlich oder fahrlässig herbeiführt sowie wenn DSGVO-Verstöße aufgrund mangelnder Überwachung und Kontrolle der Einhaltung datenschutzrechtlicher Verpflichtungen im Unternehmen begangen werden.

Die Einrichtung eines Datenschutz-Compliance-Programms, mit dem die Bestimmungen der DSGVO im Unternehmen umgesetzt werden und die damit eingerichteten Prozesse und Kontrollmechanismen die Einhaltung der DSGVO mit gutem Grund erwarten lassen, ist somit unumgänglich. Eine ausreichende Datenschutz-Compliance-Organisation schließt die Annahme von Verschulden aus.

Nun könnte alles anders kommen. Das Kammergericht Berlin hat dem Europäischen Gerichtshof im Fall Deutsches Wohnen die Frage zur Vorabentscheidung vorgelegt, ob Verschulden für die Verhängung von DSGVO-Geldbußen relevant sein soll oder nicht. Der Immobilienkonzern soll Mieterdaten unrechtsmäßig gespeichert haben.

Kein Nachweis, keine Strafe

Bisher haben die europäischen Datenschutzbehörden – darunter auch die österreichische Datenschutzbehörde – DSGVO-Strafen nur dann verhängt, wenn das Unternehmen auch schuldhaft, also fahrlässig oder vorsätzlich, gegen die DSGVO verstoßen hatte. Das galt insbesondere bei unzureichender Datenschutz-Compliance-Organisation.

Nach dem Grundsatz der Unschuldsvermutung haben Datenschutzbehörden genauso wie Strafgerichte zum Verschulden entsprechende Ermittlungen anzustellen. Gelingt der Datenschutzbehörde ein derartiger Nachweis nicht, so ist das Verfahren nach dem allgemeinen Grundsatz "im Zweifel für den Angeklagten" einzustellen.

Damit könnte jetzt Schluss sein. Aus Anlass des Vorabentscheidungsverfahrens wurden auch in Österreich viele anhängige DSGVO-Verwaltungsstrafverfahren bis zur Entscheidung des EuGH unterbrochen. Die Datenschutzbehörde wie auch die Gerichte warten ab, wie der EuGH urteilen wird.

Juristische Verrenkungen

Dass diese Frage überhaupt an den EuGH herangetragen wurde, verwundert. Die DSGVO geht sehr klar im Einklang mit dem in der EU vorherrschenden Verschuldensprinzip von Verschulden als Voraussetzung für die Verhängung einer DSGVO-Geldbuße aus. Es bedarf schon einiger juristischer Verrenkungen, um der DSGVO eine Abkehr vom Verschuldensprinzip zu unterstellen.

Die vom Berliner Gericht im Zuge seiner Vorlage an den EuGH vorgebrachten Argumente, die für eine Abweichung vom Verschuldensprinzip sprechen sollen, finden weder eine Basis im Normtext, noch kann eine derartige Abweichung dem EU-Gesetzgeber unterstellt werden.

Würde der EuGH bejahen, dass es für die Verhängung einer DSGVO-Geldbuße auf die Vorwerfbarkeit des konkreten Verstoßes nicht mehr ankommen würde, würden Ermittlungen und Feststellungen zur Schuldfrage vor der Datenschutzbehörde zulasten der Unschuldsvermutung nicht mehr benötigt werden. Die Feststellung des DSGVO-Verstoßes würde zur Bestrafung bereits ausreichen. Auf die Frage, ob der DSGVO-Verstoß auch gewollt war oder aufgrund von vorwerfbarer Nachlässigkeit entstanden ist, würde es nicht mehr ankommen.

Folgen für die Verteidigung

Ob ein Unternehmen eine ausreichende Datenschutz-Compliance-Organisation und entsprechende Datenschutzprozesse eingerichtet hat, wäre dann nur noch für die Höhe der Strafe relevant, nicht aber für die Grundsatzfrage, ob es überhaupt zu einer Bestrafung kommt.

Sollte der EuGH zu dem Ergebnis gelangen, dass auch unverschuldete DSGVO-Verstöße zu Geldbußen führen können, hat das nicht nur Auswirkungen auf Datenschutz-Compliance-Bemühungen von Unternehmen, sondern auch generell auf die Verteidigungsstrategie in DSGVO-Verfahren.

Zudem würde das bedeuten, dass auch schuldunfähige Personen – also Personen, für die ein Erwachsenenvertreter bestellt wurde, oder Kinder unter 14 Jahren – wegen Datenschutzverletzungen bestraft werden könnten, obwohl diese das Unrecht ihrer Tat regelmäßig gar nicht einsehen können und es ihnen daher auch gar nicht zum Vorwurf gemacht werden kann.

Es ist noch nicht absehbar, in welche Richtung der EuGH entscheiden wird. Unternehmen sind jedenfalls gut beraten, ihre Datenschutz-Compliance-Organisation und die eingerichteten Datenschutz-Prozesse zu überprüfen und identifizierte Lücken zeitnah zu schließen. (Gernot Fritz, 19.5.2022)