Die datenschutzrechtliche Verantwortlichkeit von juristischen Personen (per Rechtsakt geschaffene, nicht natürliche Personen, die Träger von Rechten und Pflichten sein können, zum Beispiel ein Verein, eine GmbH etc.) beschäftigt momentan die Richter des Europäischen Gerichtshofes in Luxemburg. [...]
Das Kammergericht Berlin stellte in der Sache »Deutsche Wohnen SE« folgende Frage: Sind die Bedingungen für die Verhängung von Geldbußen dahingehend auszulegen, dass ein Bußgeld auch unmittelbar gegen ein Unternehmen verhängt werden kann und es keiner Feststellung einer Ordnungswidrigkeit durch eine natürliche und identifizierbare, gegebenenfalls schuldfähige, Person, bedarf? Dies erinnert stark an das österreichische Verbandsverantwortlichkeitsgesetz (VbVG), wonach ein Verband für solche Straftaten verantwortlich ist, die zu Gunsten des Verbands begangen wurden, oder wenn eine Pflichtverletzung des Verbandes gegeben ist. Geldbußen sind direkt von der juristischen Person (also dem Verband) zu tragen.
Vor dem Kammergericht Berlin ging es um ein Unternehmen, das im Rahmen seiner Geschäftstätigkeit auch personenbezogene Daten von Mieter/innen verarbeitete. Es wurde der mehrfache Verstoß gegen die DSGVO festgestellt und in der Folge eine hohe Geldbuße gegen das Unternehmen festgesetzt. Das Gericht stellte während des Verfahrens dann die Frage, ob die Verhängung einer Geldbuße von der schuldhaften Handlung der Organe oder Leitungspersonen – also natürlichen Personen – abhängt oder eine juristische Person ohne Verschulden zur Zahlung einer Geldbuße herangezogen werden kann.
Der österreichische Verwaltungsgerichtshof stellte bereits mehrfach fest, dass für die Verhängung einer Geldbuße und somit die Verwaltungsstrafbarkeit einer juristischen Person die konkrete Benennung einer natürlichen Person erforderlich ist. Da die juristische Person nicht schuldhaft handeln kann, kann ihr nur das Verhalten einer natürlichen Person zugerechnet werden. Nach Ansicht des Verwaltungsgerichtshofes reicht es nicht aus, dass nur ein bestimmter Kreis natürlicher Personen in Frage kommt. Demgegenüber reicht es aber nach dem VbVG aus, einen Verband für Straftaten verantwortlich zu machen, wenn der in Betracht kommende Personenkreis eingeschränkt und konkretisiert werden kann. Die Feststellung, dass »irgendein Mitarbeiter des Verbandes die Tat begangen hat«, ist jedoch nicht ausreichend.
Es bleibt abzuwarten, wie der EuGH entscheidet: Müssen sich Unternehmen künftig für Datenschutzverletzungen unmittelbar verantworten oder bleibt es dabei, dass die Behörde vor der Verhängung einer Geldbuße eine schuldhaft handelnde natürliche Person identifizieren muss?
*Mag. Andreas Schütz ist Anwalt bei Taylor-Wessing.
Be the first to comment