Newsletter Daten, IT und Medien

DS‑​GVO‑​Bußgeld erheblich reduziert – Rechtsprechung widerspricht Bußgeldkonzept der Aufsichtsbehörden

Das Landgericht Bonn hat gestern im Bußgeldverfahren gegen einen Telekommunikationsdienstleister ein vom Bundesdatenschutzbeauftragten (BfDI) in Höhe von 9,55 Mio. EUR verhängtes Bußgeld auf 900.000 EUR herabgesetzt (Urteil vom 11.11.2020 – 29 OWi 1/20 LG). Damit hat erstmals ein deutsches Gericht ein Urteil zu einem Millionen‑​Bußgeld in Folge eines DS‑​GVO‑​Verstoßes verkündet. Auch wenn die Entscheidung noch nicht rechtskräftig ist, ergeben sich aus dem Urteil über den Einzelfall hinaus für zukünftige Bußgeldverfahren wichtige Aussagen:

  1. Das umsatzorientierte Bußgeldkonzept der Datenschutzkonferenz lässt wesentliche Bemessungsaspekte außer Acht. Hierauf hatten Rechtswissenschaft und Rechtspraxis immer wieder hingewiesen. Zwar mag der Umsatz eines Gesamtunternehmens der ersten Orientierung im Hinblick auf die Obergrenze des Bußgeldrahmens dienen; bei der finalen Zumessung sind aber die Bedeutung der Ordnungswidrigkeit und das Verschulden, das den Täter trifft, als maßgebliche Bemessungskriterien heranzuziehen. Somit müssen etwa die Schwere der Verletzung, die Art, die Dauer, die Wiederholung und die Reaktion durch Umsetzung von Maßnahmen – etwa zur Begrenzung des Schadens – berücksichtigt werden.
  2. Ein Anknüpfungspunkt für eine weniger schematische und damit einzelfallgerechte Bußgeldbemessung ist der Katalog des Art. 83 Abs. 2 S. 2 DS‑​GVO, der die Bußgeldbemessung von einer Vielzahl von Kriterien abhängig macht. Es bleibt abzuwarten, ob das Urteil ein Ende des Bußgeldmodells der Datenschutzkonferenz einläutet oder nur zu Anpassungen führen wird. Eine Überarbeitung des Konzepts haben die Datenschutzaufsichtsbehörden jedenfalls bereits angekündigt.
  3. Das Landgericht verzichtet auf die Anwendung einer elementaren Regel des deutschen Ordnungswidrigkeitenrechts. Bislang setzte die Verhängung eines Unternehmensbußgeldes stets einen sanktionsbewehrten Verstoß einer Leitungsperson voraus. Unter Hinweis auf das europäische Recht entfällt nach Ansicht der Kammer diese Voraussetzung und ein Unternehmen kann auch für Verstöße unterhalb der Leitungsebene mit einem Bußgeld belegt werden. Diese Nichtanwendung des § 30 OWiG ist umstritten und bedarf der obergerichtlichen Klärung.

Fazit: Auch nach Auffassung der Aufsichtsbehörde handelte es sich im konkreten Fall um einen vergleichsweise geringen Datenschutzverstoß. Dennoch eine solch hohe Bußgeldhöhe zu verhängen und mit dieser die Diskussion um die Sanktionswirkungen des Datenschutzrechts zu befeuern, weist für zukünftige Auseinandersetzungen den Weg zu möglichen Erfolgen gerichtlicher Überprüfungen. Die Grundsatzfragen des neuen und europarechtlich geprägten Datenschutz‑​Ordnungswidrigkeitenrechts werden die Gerichte – vor allem nach der Ankündigung weiterer Bußgeldverfahren – auch in Zukunft beschäftigen.

Der Newsletter stellt keine individuelle Rechtsberatung dar und verfolgt ausschließlich den Zweck, über ausgewählte Themen zu informieren. Bei Fragen zum Newsletter wenden Sie sich bitte an einen genannten Ansprechpartner.