DSGVO | Verhängung von Bußgeldern – Entwarnung für juristische Personen?!
« NewsübersichtDer Österreichische Verwaltungsgerichtshof hat kürzlich einen Bußgeldbescheid der österreichischen Datenschutzbehörde gegen eine juristische Person einkassiert (12.05.2020 - Ro 2019/04). Nach Ansicht des Gerichts fehlte ein konkreter Tatvorwurf gegen Personen der adressierten GmbH.
Die zentrale Norm des Art. 83 DSGVO zur Verhängung von Geldbußen enthält eine Öffnungsklausel zugunsten der Mitgliedstaaten über das Bußgeldverfahren – aber auch in Deutschland bedarf es eines konkreten Tatvorwurfes gegen ein Organ der juristischen Person.
In Deutschland stellen Verstöße gegen die DSGVO und weiteren Datenschutzgesetzen Ordnungswidrigkeiten dar. Gegen die Verantwortlichen der Verarbeitung, bei welcher es zu der Verletzung kam, können Geldbußen ausgesprochen werden.
Maßgeblich nach nationalem Recht sind aber insbesondere die Vorschriften über Ordnungswidrigkeiten, StGB und OWiG. Gegenüber juristischen Personen bestehen demgegenüber aber einige Einschränkungen. Auch hierzulande wurden in der Vergangenheit regelmäßig Bescheide von verschiedenen OLGs für unzureichend und unwirksam erklärt.
OLG Hamm, Beschluss vom 17. Dezember 2012 – 2 RBs 109/12
OLG Rostock, Beschluss vom 14. Januar 2013 – 2 Ss (OWi) 254/12 I 276/12
OLG Thüringen, Beschluss vom 02. November 2005 – 1 Ss 242/05
OLG Celle, Beschluss vom 30. November 2001 – 322 Ss 217/01 (OWiz)
Geldbußen gegen juristische Personen können zunächst nur unter den Voraussetzungen des § 30 Abs. 1 Nr. 1 OWiG ausgesprochen werden. Dazu muss ein Organ der juristischen Person die Ordnungswidrigkeit begangen haben. Geschäftsführer haften dabei auch nicht als verantwortlicher der Gesellschaft nach § 9 Abs. 1 OWiG für jedwede Ordnungswidrigkeiten eines Mitarbeiters. Stattdessen gelten die allgemeinen Grundsätze aus dem Straf- und Ordnungswidrigkeitsrecht über Täterschaft, Teilnahme, Tun oder Unterlassen. D.h. einem Organ der juristischen Person muss ein konkreter Vorwurf in Bezug auf eine Pflichtverletzung gemacht werden (z.B. schuldhafte Verletzung betriebsbezogener Pflichten).
Falls es sich nicht feststellen lässt, dass ein Organ selbst schuldhaft gegen Vorschriften verstoßen hat, kommt unter Umständen eine Verletzung von § 130 OWiG in Betracht. Eine Pflichtverletzung kann sich nach § 130 Abs. 1, Abs. 2 Nr. 2 OWiG ergeben, wenn das Organ die ihm obliegenden Aufsichtspflicht(en) vorsätzlich oder fahrlässig nicht wahrgenommen hat dadurch die Zuwiderhandlungen gegen die Vorschriften durch einen Dritten ermöglicht hat.
Nach wie vor bestehen viele Unklarheiten über die einzelnen Tatbestände des Art. 83 DSGVO sowie über das Ordnungswidrigkeitsverfahren selbst. Festzuhalten ist jedoch, dass einiger Rechtfertigungsbedarf auf Seiten der Aufsichtsbehörden bei Verhängung einer Geldbuße insbesondere gegenüber juristischen Personen besteht. Hier bieten sich oft aussichtsreiche Verteidigungsmöglichkeiten.
Die MASLATON Rechtsanwaltsgesellschaft mbH hat eine langjährige Erfahrung mit unternehmensinternem Datenschutz und der Verteidigung gegen Maßnahmen der Datenschutzbehörden. Gern beraten wir Sie präventiv oder auch im Falle bereits verhängter Maßnahmen.