Die deutschen Datenschutzbehörden verhängen derzeit Bußgelder wegen Verstößen gegen die DSGVO direkt gegen das jeweilige Unternehmen. Diese Möglichkeit ergibt sich nach Ansicht der Behörden aus dem sogenannten (kartellrechtlichen) „funktionalen Unternehmensbegriff“, der in Erwägungsgrund 150 S. 3 DSGVO angelegt sei. Art. 83 DSGVO enthalte demnach eine Funktionsträgerhaftung, die den Regelungen des deutschen Ordnungswidrigkeitengesetzes (OWiG) vorgehe. Für die Praxis würde dies – vereinfacht gesagt – zu Beweiserleichterungen für die Behörden bei der Verhängung von Bußgeldern führen.

Das Landgericht Bonn gab den Datenschutzbehörden in dieser Frage in einer Entscheidung aus dem Jahr 2020 Recht. Die nach deutschem Recht geltenden §§ 130, 30 OWiG, die eine zurechenbare Anknüpfungstat einer Leitungsperson voraussetzen, widersprächen EU-Recht. Sie seien daher bei DSGVO-Bußgeldern nicht anwendbar. Das Landgericht Berlin gelangte in einer nicht rechtskräftigen Entscheidung zum gegenteiligen Ergebnis.

Das Bundesinnenministerium (BMI) hat nun in einer Evaluation zum Datenschutz klargestellt, dass eine direkte Unternehmenshaftung nicht dem Willen des deutschen Gesetzgebers entspricht.

Ab Seite 61 der Evaluation nimmt das BMI hierzu wie folgt Stellung:

Dazu ist zunächst darauf hinzuweisen, dass sich der Gesetzgeber seinerzeit bewusst – und in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden zu dieser Thematik – dafür entschieden hat, die §§ 30, 130 OWiG nicht aus den nach § 41 Absatz 1 Satz 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen.

Damit bestätigt neben dem Landgericht Berlin nun auch das BMI die zutreffende Rechtsauffassung, dass Geldbußen nicht direkt gegen Unternehmen verhängt werden können.

Einen Überblick zu den beiden genannten Verfahren vor dem Landgericht Bonn und dem Landgericht Berlin finden Sie auch in einem hier abrufbaren Überblick. In einem hier abrufbaren Beitrag stellen wir neben aktuellen Fragestellungen aus DSGVO-Bußgeldverfahren auch Strategien zur erfolgreichen Verteidigung gegen Schadensersatzforderungen nach der DSGVO dar.