Von Tim Wybitul *)

Die EU-Datenschutz-Grundverordnung (DSGVO) sieht bei Verstößen gegen die Anforderungen des Datenschutzes Bußgelder von bis zu 20 Mill. Euro vor. Oder sogar bis zu 4% des globalen Vorjahresumsatzes – je nachdem, welcher Betrag höher ist. Dementsprechend haben europäische Datenschutzbehörden bereits dreistellige Millionenbußgelder verhängt. Auch die deutschen Behörden sind bei DSGVO-Bußgeldern nicht zimperlich. Sie haben bereits mehrere Geldbußen in zweistelliger Millionenhöhe verhängt, das Höchste davon betrug über 35 Mill. Euro.

Allerdings sind nicht alle der genannten Bußgelder rechtskräftig. Einige der betroffenen Unternehmen wehren sich gegen die hohen Sanktionen und gegen ihre rechtlichen Begründungen – teilweise mit Erfolg. Beispielsweise hatte das Landgericht Berlin ein Bußgeld der Berliner Datenschutzbehörde von etwa 14,5 Mill. Euro aufgehoben. Die Behörde hatte das Bußgeld direkt gegen das Unternehmen verhängt, ohne ein mögliches Fehlverhalten einzelner Mitarbeiter oder Unternehmensvertreter zu prüfen.

Das deutsche Bußgeldrecht erlaubt es Behörden durchaus, Sanktionen gegen Unternehmen zu verhängen. Das setzt aber voraus, dass sie zuvor Gesetzesverletzungen einzelner für das Unternehmen handelnder Personen nachweisen, die man dem Unternehmen zurechnen kann. Die Feststellung derartiger vorwerfbarer Anknüpfungstaten ist auch keine bloße Förmlichkeit. Vielmehr fordert das deutsche Bußgeldrecht aus gutem Grund, dass die zuständige Behörde unter anderem Tat, Täter, Tathandlung, Tatort und Tatzeit genau bezeichnen muss.

Ohne diese Angaben wird es dem Betroffenen massiv erschwert, sich gegen den konkreten Tatvorwurf zu verteidigen. Das ist ein wenig so, als würde man dem Halter eines Autos den Führerschein für ein paar Monate abnehmen und eine Geldbuße verhängen, weil irgendwann einmal jemand mit seinem Auto zu schnell gefahren wäre. Nicht ohne Grund enthalten Bußgeldbescheide wegen Geschwindigkeitsverstößen genaue Angaben zum Tatort, zur Tatzeit, zur gemessenen Geschwindigkeit, ein Foto des Fahrers und Vieles mehr.

Zudem setzt die Sanktionierung von Unternehmen eine aktive Gesetzesübertretung, ein Unterlassen oder eine Aufsichtspflichtverletzung eines Unternehmensvertreters voraus. Die Anforderungen an eine solche zurechenbare Anknüpfungstat sind allerdings nicht allzu hoch. Dennoch gehen die deutschen Datenschutzbehörden davon aus, dass sie das deutsche Bußgeldrecht nicht anwenden müssen. Denn ein Erwägungsgrund der DSGVO zur Berechnung von Bußgeldern verweise auf das europäische Kartellrecht. Hieraus folge, dass es auf mögliche Gesetzesverstöße einzelner Unternehmensvertreter und deren Nachweis nicht ankomme.

In dem oben angesprochenen Bußgeldverfahren hatte das Landgericht Berlin dieser Ansicht eine Absage erteilt. In der Rechtsmittelinstanz hat das Berliner Kammergericht die hier angesprochenen Fragen nun dem Europäischen Gerichtshof (EuGH) vorgelegt. Das höchste EU-Gericht ist in letzter Instanz für die Auslegung europarechtlicher Vorschriften wie der DSGVO zuständig.

Die Entscheidung des Kammergerichts zeigt, dass unser Rechtssystem auch beim Datenschutz gut funktioniert. Nicht selten legen deutsche und andere europäische Datenschutzbehörden die DSGVO sehr streng aus. Für Unternehmen sind diese Anforderungen in der Praxis aber oft kaum umsetzbar. Und Behörden haben als Teil der Verwaltung für die Umsetzung europäischer und deutscher Rechtsnormen zu sorgen.

Die verbindliche Auslegung der DSGVO oder anderer Rechtsvorschriften ist aber eine Aufgabe der Gerichte. Dementsprechend haben Gerichte dem EuGH bereits in über 30 Verfahren wesentliche Auslegungsfragen der DSGVO zur Vorabentscheidung vorgelegt. Im Durchschnitt dauert ein solches Verfahren vor dem EuGH um die 1,5 Jahre.

Dann müssen die nationalen Gerichte die Vorgaben des höchsten EU-Gerichts noch umsetzen. Auch das wird einige Zeit in Anspruch nehmen. Aber dann wird es immer mehr verbindliche Rechtsprechung zum neuen europäischen Datenschutz geben, die den Behörden Grenzen aufzeigt.

Die geschilderte Entwicklung zeigt deutlich, dass Unternehmen nicht jede Entscheidung der Datenschutzbehörden hinnehmen sollten. Nicht selten korrigieren Gerichte die Entscheidungen der Behörden. Gerade bei prozessualen Fragen, aber auch bei der Auslegung der Anforderungen der DSGVO kann es sich daher lohnen, vor Gericht gegen Bußgeldbescheide oder Anordnungen der Datenschutzbehörden vorzugehen. Oftmals sind Richter in solchen Verfahren überzeugenden und praxisgerechten Argumenten zugänglich.

*) Tim Wybitul ist Partner von Latham & Watkins. Er vertritt Unternehmen vor Gericht in Datenschutzverfahren, darunter auch in einigen der hier genannten Verfahren.