Aufsatz : DS-GVO Bußgelder in der Praxis: Wer muss den Rückgriff fürchten? : aus der RDV 6/2021 Seite 308 bis 316
Die Datenschutz-Grundverordnung (DS-GVO) dient dem Schutz von natürlichen Personen bei der Verarbeitung ihrer personenbezogenen Daten. Um diesen Schutz effektiv durchsetzen zu können, wurde durch den europäischen Gesetzgeber ein umfassendes Sanktionsregime eingeführt. Dieses ermöglicht den Aufsichtsbehörden, bei bestimmten Verstößen Geldbußen von bis zu 20 Mio. Euro oder bei Unternehmen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zu verhängen (Art. 83 Abs. 5 und 6 DS-GVO) – je nachdem, welcher der Beträge höher ist. Der Jahresumsatz meint dabei den des gesamten Unternehmensverbundes.[1] Jüngst verhängte die Landesbeauftrage für den Datenschutz Niedersachsen ein Bußgeld von über 10,4 Mio. Euro gegen ein Unternehmen aufgrund von schwerwiegenden Verstößen im Zusammenhang mit der Videoüberwachung.[2] Wegen eines Verstoßes gegen die Pflichten betreffend die Datensicherheit verhängte die Bußgeldstelle des LfDI Baden-Württemberg gegen die AOK Baden-Württemberg eine Geldbuße von 1,24 Mio. EUR.[3] Bei derart hohen Beträgen stellt sich die Frage, inwieweit ein Regress zwischen den an der Verarbeitung Beteiligten möglich ist oder in zulässiger Weise vertraglich ausgeschlossen oder beschränkt werden kann. So mag in Vereinbarungen zwischen Verantwortlichem und Auftragsverarbeiter versucht werden, die Haftung abweichend zur gesetzlichen Rechtslage zu regeln. Gleichermaßen mögen Beschäftigte in Vereinbarungen mit Unternehmen versuchen, sich vor Haftungsrisiken zu schützen, die als unangemessen erachtet werden. Vertragliche Vereinbarungen über Haftungsbegrenzungen oder den Ausschluss einer Haftung sind aufgrund der Privatautonomie im Grundsatz zulässig. Gleichwohl ergeben sich bereits aus dem Gesetz Vorgaben für vertragliche Haftungsbeschränkungen. So verbietet § 276 Abs. 3 BGB den Ausschluss der Haftung für Vorsatz. Darüber hinaus existieren spezialgesetzlich Verbote, etwa § 52 BRAO oder § 67 StBerG.[4] Gemäß § 309 Nr. 7 lit. b) BGB sind ein Ausschluss oder eine Begrenzung der Haftung für Schäden, die auf einer grob fahrlässigen Pflichtverletzung des Verwenders oder auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen des Verwenders beruhen, in allgemeinen Geschäftsbedingungen unwirksam. Entsprechendes gilt für Schäden, die aus der Verletzung des Lebens, Körpers oder der Gesundheit resultieren. Für die leicht fahrlässige Verletzung vertragswesentlicher Pflichten kann die Haftung nur auf die vorhersehbaren Schäden beschränkt werden. Diese Regelungen sagen allerdings nichts dazu aus, ob ein mit einem Bußgeld belegtes Unternehmen gegen einen anderen an der Verarbeitung Beteiligten – etwa wegen der Verletzung von Pflichten aus einem Vertragsverhältnis – Rückgriff nehmen kann und ein verhängtes Bußgeld ein ersatzfähiger Schaden im Sinne der §§ 249 ff. BGB wäre.
I. Gerichtliche Entscheidungen im Kartellrecht
Gerichtliche Entscheidungen zu Rückgriffsansprüchen bei datenschutzrechtlichen Bußgeldern nach der DS-GVO existieren noch nicht. Bei den vorhandenen arbeits- und kartellrechtlichen Entscheidungen zu Rückgriffsansprüchen geht es um den Rückgriff eines mit einem Bußgeld belegten Beschäftigten gegen das Unternehmen, bei dem der Mitarbeiter beschäftigt ist, (Fallgruppe 1) und den Rückgriff des bußgeldbelegten Unternehmens gegen einen Beschäftigten wegen schuldhafter Verletzung von Pflichten (Fallgruppe 2). Es finden sich zu diesen Fallgruppen einige Entscheidungen, die Rückgriffsansprüche im Grundsatz ablehnen. In einer Sonderkonstellation und bei einem Ausgleich innerhalb einer Unternehmensgruppe wurde ein Rückgriff hingegen zugelassen (Fallgruppe 3).
1. Kein Regress des Beschäftigten gegen das Unternehmen (Fallgruppe 1)
Das Bundesarbeitsgericht (BAG) lehnte in einer Entscheidung aus dem Jahr 2001 einen Rückgriffsanspruch des Beschäftigten ab. In dem konkreten Fall ging es um einen Arbeitnehmer, gegen den ein Bußgeld wegen eines während der Arbeitszeit begangenen Verstoßes gegen die Straßenverkehrsordnung verhängt wurde und der dieses von seinem Arbeitgeber ersetzt haben wollte. Nach Auffassung des BAG sei ein solches Bußgeld grundsätzlich vom Arbeitnehmer selbst zu tragen; ein Regress beim Arbeitgeber sei nur in Ausnahmefällen möglich. Im Vorfeld erteilte Zusagen des Arbeitgebers, dem Arbeitnehmer auferlegte Bußgelder zu übernehmen, seien regelmäßig als Verstoß gegen § 138 BGB anzusehen. Sie würden dem Zweck von Straf- und Bußgeldvorschriften zuwiderlaufen und seien geeignet, die Hemmschwelle des Arbeitnehmers, Straftaten oder Ordnungswidrigkeiten zu begehen, herabzusetzen. Geldbußen sind vom Arbeitnehmer grundsätzlich persönlich aus dem eigenen Vermögen zu tragen.[5] Die Geldbuße könne allenfalls freiwillig vom Arbeitgeber übernommen werden.[6]
Das Landesarbeitsgericht (LAG) Rheinland-Pfalz ließ die Frage offen, ob ein Bußgeld ein ersatzfähiger Schaden nach §§ 249 ff. BGB ist. Ein Bußgeld als Schaden solle seiner Natur nach grundsätzlich nicht ersatzfähig sein. Es entspricht der herrschenden Auffassung in der Rechtsprechung[7] und in der versicherungsrechtlichen Kommentarliteratur, dass Geldbußen keine versicherungsfähigen Vermögensschäden sind, weil eine vorherige Erstattungszusage das Sanktionsprinzip des Straf- und Ordnungswidrigkeitenrechts verletzen würde.[8] Das Gericht argumentierte auch hier – ähnlich wie das BAG – mit dem Sinn und Zweck von Bußgeldern. Es führte in seiner Entscheidung aus, dass, wenn die Rechtsordnung dem Täter einen Anspruch darauf zubilligen würde, von den finanziellen Belastungen, die mit der Verhängung eines Bußgeldes verbunden sind, freigestellt zu werden, die Geldbuße den mit ihr verfolgten Zweck verfehlen würde.[9]
2. Kein Regress des Unternehmens gegen den Geschäftsführer (Fallgruppe 2)
Das Landesarbeitsgericht (LAG) Düsseldorf lehnte in einer Entscheidung aus dem Jahre 2015 einen Regress des Unternehmens gegen einen Geschäftsführer wegen eines durch das Bundeskartellamt verhängten Bußgeldes ab.[10] Das Urteil des LAG Düsseldorf wurde durch das BAG allerdings aufgehoben.[11] Das Verfahren ruht aktuell beim Landgericht Dortmund. Ob das BAG der Auffassung des LAG im Übrigen folgt, ließ es in seiner Entscheidung ausdrücklich offen.[12] Das LAG Düsseldorf stützte die Ablehnung des Regressanspruchs im Wesentlichen auf folgende Punkte: Der Normgeber habe explizit den Adressaten des Bußgeldes bestimmt (im Kartellrecht in § 81 GWB) und daher auch eine Entscheidung darüber getroffen, wer das Bußgeld letztlich tragen müsse. Wäre es dem Unternehmen gestattet, die Geldbuße im Innenverhältnis zu regressieren, würde die gewollte Sanktionswirkung nicht eintreten und die Entscheidung des Gesetzgebers ins Leere laufen, dass ein Unternehmen zur Verantwortung gezogen werden soll. Es würde vielmehr eine – vom Gesetzgeber nicht gewollte – Korrektur der ordnungsrechtlichen Entscheidung durch das Zivilrecht erreicht werden. Diese Wertung sei im Zivilrecht zu berücksichtigen und ein Regress im Rahmen der Innenhaftung daher zu verneinen. Ansonsten könne der mit einem Bußgeld verbundene Zweck, eine bestimmte Ordnung zu garantieren, nicht wirksam erreicht werden.[13]
Wenn ein Regress einer natürlichen Person gegen eine juristische Person regelmäßig nicht möglich sei, könne auch andersherum nichts anderes gelten. Insbesondere sei auch gegenüber juristischen Personen der Grundsatz der individuellen Straf- und Sanktionsfestsetzung zu berücksichtigen. Der in dem Bußgeld enthaltene Vorwurf sei der eines Organisationsverschuldens in Gestalt einer nicht ausreichenden Kontrolle der Organe. Unternehmen und Unternehmensträger sollen durch fühlbare Einbußen zu einer angemessenen Kontrolle angehalten werden. Nur durch die finale Bußgeldbelastung bei dem Unternehmen sei dem Sinn und Zweck des Kartellbußgeldrechts mit der Aufteilung der innergesellschaftlichen Verantwortungssphären Rechnung getragen.[14] Im Kartellrecht existiere eine Unterscheidung zwischen Bußgeldern, die gegen Unternehmen verhängt werden können (bis zu 10 % des Gesamtjahresumsatzes), und Bußgeldern, die gegenüber natürlichen Personen (Begrenzung auf 1 Mio. Euro) verhängt werden können. Diese Unterscheidung würde ins Leere laufen, wenn ein Regress des Unternehmens gegen die Geschäftsleitung möglich wäre.[15] Bestünde ein Regressanspruch des Unternehmens gegen die Geschäftsleitung, würde dies dazu führen, dass die von der Behörde beabsichtigte Abschöpfung des unrechtmäßig erwirtschafteten Mehrerlöses beim Unternehmen (§ 81 Abs. 5 GWB) letztlich vom Geschäftsführer getragen werden würde.[16] Dieser Linie folgend halten zahlreiche Stimmen in der Kommentarliteratur bei Kartellrechtsverstößen Regressansprüche des Unternehmens gegen die handelnden Personen einschließlich der Geschäftsleitung grundsätzlich für ausgeschlossen.[17]
Abweichende Auffassungen in der Literatur wollen Regress – ausgenommen den Gewinnabschöpfungsanteil – gegen die Geschäftsleitung zumindest beschränkt zulassen, um unbillige Entlastungen der Geschäftsleitung zu vermeiden.[18] Auch fehle es an den Voraussetzungen der dafür notwendigen teleologischen Reduktion der haftungsrechtlichen Vorschriften in § 93 Abs. 2 S. 1 AktG. Die Regelungen zur Verhängung eines Bußgeldes könnten auch nicht als derart abschließend angesehen werden, als dass sie jegliche Regressnahmen gegenüber der Geschäftsleitung ausschließen. Jedoch sei aufgrund der Treu- und Fürsorgepflicht der Gesellschaft die Regresshöhe zu beschränken.[19]
3. Einen Regress in Ausnahmefällen zulassende Urteile (Fallgruppe 3)
In der Rechtsprechung wurde ein Regress bei Bußgeldern allerdings in bestimmten Ausnahmefällen bejaht.[20] So soll ein Regress etwa dann möglich sein, wenn sich der Adressat des Bußgeldes bei einem sachkundigen Dritten Rat einhole, um der Gefahr einer Sanktionierung zu begegnen und aufgrund der nicht sachgerechten Beratung ein Bußgeld verhängt werde. So könne ein Steuerberater, der es durch einen von ihm erteilten Rat oder durch die von ihm veranlasste unzutreffende Darstellung steuerlich bedeutsamer Vorgänge verschuldet habe, dass gegen seinen Mandanten wegen leichtfertiger Steuerverkürzung ein Bußgeld verhängt wird, verpflichtet sein, jenem den darin bestehenden Vermögensschaden zu ersetzen.[21] Dem Bebußten wird demnach ein Regressanspruch zugebilligt, wenn sein Vertragspartner gerade verpflichtet ist, die Verwirklichung des Bußgeldtatbestandes abzuwenden.[22]
Eine Geldbuße kann ausnahmsweise auch zu einem nach § 826 BGB zu ersetzenden Schaden gehören. Demnach ist ein Regress des Arbeitnehmers beim Arbeitgeber möglich, wenn es dem Arbeitnehmer trotz seiner rechtlichen Verpflichtung im Einzelfall nicht zumutbar gewesen ist, sich den Anordnungen seines Arbeitgebers zu widersetzen.[23]
Für eine gegen zwei Unternehmen als Gesamtschuldner verhängte kartellrechtliche Geldbuße entschied der EuGH, dass eine privatautonome Regressregelung bzgl. des Bußgeldes wirksam getroffen werden kann und dies dem Sanktionszweck von Bußgeldern nicht entgegensteht.[24] Der BGH stellte dazu fest, dass der interne Ausgleich zwischen Gesamtschuldnern bei dieser von der Kommission festgesetzten Geldbuße sich nach § 426 BGB richtet und in Ermangelung einer Vereinbarung über die Ausgleichsansprüche die individuellen Verursachungs- und Verschuldensbeiträge der Beteiligten heranzuziehen sind.[25] Diese Entscheidungen werden teilweise allgemein dahingehend interpretiert, dass eine vertragliche Regressregelung für Bußgelder rechtlich wirksam getroffen werden könne.[26] Allerdings hat der BGH ausdrücklich festgehalten, dass Ansprüche auf Erstattung einer gezahlten Geldbuße auf der Grundlage eines Schadensersatzanspruchs schon deshalb nicht in Betracht kommen, weil das Wettbewerbsrecht der Union nicht dazu diene, einzelne Unternehmenseinheiten eines gegen dieses Recht verstoßenden Unternehmens vor der Belastung mit einer Geldbuße zu schützen.[27] Ansprüche dieser Art seien weder zur effektiven Durchsetzung der Wettbewerbsregeln der Union notwendig noch förderlich.[28]
II. Übertragung der Rechtsprechung auf DS-GVO-Bußgelder
Die dargestellte Rechtsprechung bezieht sich nicht auf das Datenschutzrecht. Es stellt sich daher die Frage, ob die Argumentation auch auf die verschiedenen datenschutzrechtlichen Akteure und ihre Rechtsbeziehungen zueinander übertragen werden kann.
1. Grundlagen der Verhängung von Bußgeldern gegen das Unternehmen
Gemäß § 41 Abs. 1 S. 1 BDSG sind die Vorschriften des OWiG für die Verhängung von Bußgeldern nach Art. 83 DS-GVO „sinngemäß“ anwendbar. Die Zurechnungsvorschrift in § 30 OWiG, nach der eine in dem Katalog des § 30 OWiG genannte Leitungsperson die jeweilige Straftat oder Ordnungswidrigkeit begangen haben muss, damit die juristische Person oder Personenvereinigung sanktioniert werden kann, ist von dem Verweis – anders als andere OWiG Vorschriften – gerade nicht ausdrücklich ausgenommen worden. Offen bleibt, inwieweit diese Regelung den Täterkreis gegenüber Art. 83 DSGVO abändern kann.[29] Das Abstellen auf die Leitungspersonen wird damit begründet, dass Inhaber von Betrieben und Unternehmen nach § 130 Abs. 1 OWiG verantwortlich sind, wenn sie ihre Aufsichtspflicht hinsichtlich der Einhaltung der DS-GVO schuldhaft verletzen. Zu ihren Aufsichtspflichten gehöre u.a. die Bestellung, die sorgfältige Auswahl und Überwachung von Aufsichtspersonen.[30]
Das Landgericht Bonn hat in einer aktuellen Entscheidung ausdrücklich festgestellt, dass ein Bußgeld entgegen § 30 OWiG nicht nur dann gegenüber einem Unternehmen verhängt werden kann, wenn ein schuldhaftes Fehlverhalten bestimmter Personen in Führungs- oder Aufsichtspositionen vorliegt, sondern auch dann, wenn ein sonstiger Mitarbeiter Datenschutzverstöße begeht. Nach Auffassung des Gerichtssei insoweit nicht das OWiG, sondern es seien vielmehr die Grundsätze des supranationalen Kartellsanktionsrechts anwendbar. Dass dies gewollt sei, habe der europäische Gesetzgeber etwa in Erwägungsgrund 150 zur DS-GVO zum Ausdruck gebracht. Denn darin heißt es, dass im Fall einer Geldbuße gegen Unternehmen der Begriff „Unternehmen“ i.S.d. Art. 101 und 102 AEUV verstanden werden solle. Das supranationale europäische Kartellrecht gehe bei Verstößen gegen Art. 101 und 102 AEUV von einer unmittelbaren Verantwortlichkeit der Unternehmen aus. Danach hafte der Verband unmittelbar für den Verstoß, gleichgültig, welche natürliche Person für ihn gehandelt habe. Eine Kenntnis oder Anweisung der Geschäftsführung oder die Verletzung der Aufsichtspflicht sei nicht erforderlich.[31]
Ebenso wies auch die Datenschutzkonferenz (DSK) in einer Entschließung vom 03. April 2019 darauf hin, dass Unternehmen im Rahmen von Art. 83 DS-GVO für schuldhafte Datenschutzverstöße ihrer Beschäftigten haften. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen.[32]
Das Landgericht (LG) Berlin hingegen erachtet die Vorschriften des OWiG für anwendbar. Im konkreten Fall ging es um einen Bußgeldbescheid in Höhe von rund 14,5 Mio. Euro, den die Berliner Beauftragte für den Datenschutz und Informationsfreiheit (BerlBfDI) gegen die Deutsche Wohnen SE wegen eines Verstoßes gegen die DS-GVO, namentlich eines unzureichenden Löschkonzepts, verhängt hatte. Auf den hiergegen eingelegten Einspruch des Unternehmens hat das Landgericht Berlin das Verfahren mit Beschluss vom 18.02.2021 eingestellt.[33] Der Bußgeldbescheid sei mangels Angaben zu konkreten Tathandlungen eines Organs des Unternehmens unwirksam. Das LG Berlin setzt sich damit in Widerspruch zu der Auffassung sämtlicher deutscher Datenschutzaufsichtsbehörden sowie zum Urteil des LG Bonn. Die Staatsanwaltschaft Berlin hat nunmehr im Einvernehmen mit der BerlBfDI Beschwerde gegen den Beschluss eingelegt.[34]
Gegen die Auffassung des LG Berlin lässt sich anführen, dass die DS-GVO zwar in Art. 83 Abs. 8 die Anwendung nationalen Rechts ermöglicht. Um allerdings die Ziele der DSGVO effektiv erreichen zu können, sind die nationalen Vorschriften europarechtskonform auszulegen. Wären hier die nationalen Regelungen, namentlich § 30 OWiG anwendbar, würde das strenge Sanktionssystem, das die DS-GVO vorsieht, erheblich abgeschwächt werden. Demnach müssen die Grundsätze des supranationalen Kartellsanktionsrechts anwendbar sein, sodass die Verhängung eines Bußgeldes gegen das Unternehmen wegen eines Datenschutzverstoßes von sonstigen Mitarbeitern grundsätzlich möglich sein dürfte.[35]
2. Verhängung von Bußgeldern gegen die Leitungsperson/ den Mitarbeiter
Ausnahmsweise ist nach Auffassung der DSK das Verhalten eines Beschäftigten dem Unternehmen nicht zuzurechnen, sofern es sich um einen Exzess des Beschäftigten handele. Denn der Beschäftigte lege bei einem Exzess die Zwecke der Verarbeitung selbst fest, sodass er sich selbst zum Verantwortlichen für die Datenverarbeitung mache.[36] In solchen Fällen ist die Verhängung eines Bußgeldes direkt gegenüber dem Beschäftigten denkbar. Derartige Mitarbeiterexzesse wurden durch die Aufsichtsbehörden bereits geahndet. So verhängte der Landesbeauftragte für den Datenschutz und die Informationssicherheit Baden-Württemberg ein Bußgeld gegen einen Polizeibeamten, der im Dienst erlangte Daten zu privaten – und damit von ihm selbst festgelegten – Zwecken verarbeitete.[37]
In der Literatur wird unter Berufung auf den Wortlaut von Art. 83 DS-GVO, dass als Adressat der Geldbuße ausschließlich Verantwortliche und Auftragsverarbeiter genannt seien, vertreten, dass ein Bußgeld gegen den betrieblichen Datenschutzbeauftragten grundsätzlich ausgeschlossen sei.[38] Dem Datenschutzbeauftragten werde in der DS-GVO gerade keine eigene Verantwortlichkeit zugewiesen.[39] Dies ergebe sich aus Art. 39 Abs. 1 lit. b) DS-GVO; denn der Schutzzweck der Vorschrift sei so ausgestaltet, dass nicht jeder Verstoß verhindert werden soll, der Datenschutzbeauftragte also grundsätzlich nicht haften dürfe.[40] Anders könnte dies bei einem Exzess des Datenschutzbeauftragten zu beurteilen sein, da sich auch der Datenschutzbeauftragte somit zum Verantwortlichen machen würde und so auch nach Art. 83 DS-GVO selbst möglicher Adressat des Bußgeldes wäre.
Nach einer Auffassung soll im Übrigen die Verhängung eines Bußgeldes gegen eine natürliche Person nur bei Verstoß gegen die Pflichten in Art. 83 Abs. 5 und 6 DS-GVO in Betracht kommen.[41] Andere lehnen die Verhängung eines Bußgeldes gegen die für das Unternehmen handelnde Person grundsätzlich ab,[42] andere halten dies nur im Anwendungsbereich von § 130 OWiG, d.h. gegenüber Leitungspersonen, für zulässig.[43] Eine Pflichtverletzung i.S.d. §§ 93 Abs. 2 AktG, 43 Abs. 2 GmbHG kann vorliegen, wenn Geschäftsleitungsmitglieder selbst gegen datenschutzrechtliche Bußgeldvorschriften verstoßen, oder wenn sie gem. §§ 130, 30, 9 OWiG eine Aufsichtspflichtverletzung begehen, indem sie zulassen, dass in ihrem Verantwortungsbereich Verstöße gegen datenschutzrechtliche Bestimmungen vorgenommen werden.[44]
- Regress der Gesellschaft gegen die Geschäftsleitung oder Beschäftigte
Art. 83 DS-GVO regelt die Voraussetzungen, nach denen Aufsichtsbehörden Geldbußen verhängen können. Darin sind auch die mögliche Höhe eines Bußgeldes sowie Anhaltspunkte für die Faktoren, die bei der Bemessung der Höhe zu berücksichtigen sind, genannt. Die Vorschrift enthält keine Regelungen zu möglichen Rückgriffsansprüchen. Vielmehr betrifft Art. 83 DS-GVO das Verhältnis zwischen den Adressaten eines Bußgeldes, den Aufsichtsbehörden und dem Verantwortlichen bzw. Auftragsverarbeiter.[45]
Demgegenüber regeln Art. 82 Abs. 1 ff. DS-GVO die Voraussetzungen, unter denen Verantwortliche oder ein Auftragsverarbeiter gegenüber Betroffenen auf Schadensersatz haften, sowie ihre Regressansprüche untereinander. Ausweislich der systematischen Stellung der Absätze bezieht sich dieser Innenregress nicht auf Bußgelder. Art. 83 DSGVO fehlt eine entsprechende Regelung, was dafür spricht, dass der Gesetzgeber für Bußgelder eine abweichende interne Haftungsverteilung durch die Beteiligten als nicht sachgerecht erachtet hat.
Im dargestellten Urteil des LAG Düsseldorf wurde der Regress des Unternehmens gegen die Geschäftsleitung aufgrund eines Bußgeldes wegen eines Kartellrechtsverstoßes abgelehnt. Die vom Gericht getroffenen Erwägungen sind auf DSGVO-Bußgelder übertragbar. In vergleichbarer Weise trifft im Datenschutzrecht der Normgeber in Art. 83 DS-GVO (und §§ 30, 130 OWiG) eine ausdrückliche Entscheidung über den möglichen Bußgeldadressaten. Demnach kann das Bußgeld gegen das Unternehmen als Verantwortlichen oder Auftragsverarbeiter oder eben – nach nicht unumstrittener Auffassung – zumindest für bestimmte Verstöße gegen eine für diese handelnde Person verhängt werden.[46] Würde man einen zivilrechtlichen Regress des Unternehmens gegen den Mitarbeiter uneingeschränkt zulassen, würde die Entscheidung des Normgebers jedenfalls unterlaufen, bestimmtes Fehlverhalten auf der Ebene des Bußgeldadressaten zu sanktionieren.
Gegenüber Unternehmen ist ausweislich des Wortlautes der Vorschrift eine Bemessung des Bußgeldes anhand des Jahresumsatzes möglich; bei natürlichen Personen ist – theoretisch – ein Bußgeld bis zu 20 Mio. Euro möglich. Hier ist die gesetzliche „Privilegierung“ der natürlichen Person zwar nicht so offensichtlich wie im Kartellrecht. Nach § 81 Abs. 1 S.1 GWB dürfen kartellrechtliche Geldbußen gegen natürliche Personen maximal EUR 1 Mio. erreichen. Es wird auch nicht deutlich, ob die natürliche Person hier nicht nur als eigenverantwortlich und im Unternehmenskontext ggf. im Exzess zu den ihr obliegenden Verantwortlichkeiten handelnd oder als paralleler Bußgeldadressat neben dem Unternehmen angesehen wird.
Es findet aber auf der Ebene der Festsetzung des Bußgeldes durch die Aufsichtsbehörde eine Differenzierung statt. Bei Unternehmen ist die Bemessung nach dem Umsatz aufgrund des Bußgeldkonzepts der DSK gängige Praxis; bei natürlichen Personen ist die Aufsichtsbehörde aufgrund von Erwägungsgrund Nr. 150 zur DS-GVO verpflichtet, die wirtschaftliche Lage der jeweiligen Person zu berücksichtigen, wenn diese nicht als Unternehmen agiert.[47] Die Aufsichtsbehörde bestimmt also den Adressaten des Bußgeldes und die Höhe des auf den Adressaten ausgerichteten Bußgeldes. Dieser Gedanke spiegelt sich im Bußgeldkonzept der Datenschutzkonferenz (DSK)[48] wider. Darin ist festgelegt, dass bei der Bemessung des Bußgeldes gegenüber einem Unternehmen stets die konkreten, tatbezogenen Umstände des Einzelfalls, wie etwa der Grad der Verantwortung (vgl. Art. 83 Abs. 2 Satz 2 DS-GVO) als Faktoren zur Bemessung der Höhe der Geldbuße berücksichtigt werden. Das – nach hier vertretener Auffassung – überzeugendste Argument gegen einen Regress ist allerdings der Sinn und Zweck von Geldbußen, der auch in der genannten Rechtsprechung immer wieder aufgegriffen wird und auf DS-GVO-Bußgelder übertragen werden kann.[49] Auch durch Geldbußen wegen DS-GVO-Verstößen soll der durch die Aufsichtsbehörde identifizierte Täter durch eine eindringliche Pflichtenmahnung davon abgehalten werden, die geahndeten bzw. gleichartige Zuwiderhandlungen künftig erneut zu begehen. Die bisherige Praxis der Bußgeldverhängung zeigt zudem, dass Bußgeldern gegen Einzelpersonen bislang nur in den Ausnahmefällen des Mitarbeiterexzesses und auch keine parallelen Bußgelder gegen Unternehmen und Beschäftigte oder Leistungspersonen verhängt wurden. Entsprechend bewegen sich die gegen Privatpersonen wegen DS-GVO Verstößen verhängten Geldbußen in anderen Größenordnungen.[50]
Die gesetzgeberische Wertung, dass Normadressat der Geldbuße das Unternehmen und nicht die für das Unternehmen handelnde Person ist, ist daher im Zivilrecht zu berücksichtigen.[51] Ein zivilrechtlicher Regress, der den Adressaten des Bußgeldes von der Pflichtenmahnung befreit, würde diesen Zweck unterlaufen.[52] Auch bei datenschutzrechtlichen Bußgeldern liegt der Vorwurf häufig in einem Organisationsverschulden in Gestalt einer nicht ausreichenden Kontrolle der handelnden Personen durch das Unternehmen. Nur durch die finale Bußgeldbelastung bei dem Unternehmen wird dem Sinn und Zweck des Sanktionsregimes mit der Aufteilung der Verantwortungssphären Rechnung getragen.[53] Sollte ein Regress für DS-GVO-Bußgelder dennoch für zulässig erachtet werden, dürfte vor dem Hintergrund der auf die konkrete Gesellschaft ausgerichteten Höhe der Bußgelder und der Treue- und Fürsorgepflicht der Gesellschaft aber eine Beschränkung der Regresshöhe – ähnlich wie im Kartellrecht durch Teile der Literatur gefordert[54] – auch im Datenschutzrecht unverzichtbar sein.
Überträgt man die aus dem Kartellrecht stammende Rechtsprechung auf die nach Art. 83 DS-GVO gegenüber einem Unternehmen verhängten Geldbußen, wäre ein Regress gegenüber Beschäftigten nicht, gegenüber Leitungspersonen nur ausnahmsweise möglich. In Ausnahmefällen, in denen eine abschließende Klärung des Sachverhalts und der Verursachungsbeiträge im Rahmen des Bußgeldverfahrens nicht erfolgte,[55] mögen Szenarien denkbar sein, in denen ein Bußgeld als erstattungsfähiger Schaden angesehen werden könnte.
Dies deckt sich mit dem Sinn und Zweck von DS-GVOBußgeldern, denn diese sollen gemäß Art. 83 Abs. 1 DS-GVO wirksam, verhältnismäßig und abschreckend sein. Abschreckend wären sie gleichwohl nicht, wenn sich der Bebußte schadlos halten könnte. Vielmehr soll eine Geldbuße spezialpräventiv wirken und so den jeweiligen, durch die Aufsichtsbehörde identifizierten Täter davon abhalten, in Zukunft die geahndete oder gleichartige Zuwiderhandlungen gegen Rechtsvorschriften zu begehen.[56] Ihm soll also eine nachdrückliche Pflichtenmahnung erteilt und das finanzielle Risiko einer Zuwiderhandlung bewusst gemacht werden. Eine zivilrechtliche Vereinbarung, die den Bebußten von der Pflichtenmahnung befreit, würde diesen Zweck unterlaufen.[57]
4. Regress der Leitungsperson/ des Beschäftigten gegen das Unternehmen
In Fällen des Mitarbeiterexzesses ist die Aufsichtsbehörde angehalten, das Bußgeld nicht gegenüber dem Unternehmen, sondern direkt gegenüber dem Mitarbeiter zu verhängen.
Für diese Fälle kann ein Regress gegen das Unternehmen nicht in Betracht kommen, um den Zweck der eindringlichen Pflichtenmahnung nicht in Frage zu stellen, die den Täter davon abhalten soll, die geahndeten bzw. gleichartige Zuwiderhandlungen künftig erneut zu begehen. Pauschale Freistellungsvereinbarungen bezogen auf gegen eine Person verhängte Bußgelder zugunsten von Leitungspersonen wären vor dem Hintergrund unwirksam.
5. Regress des Verantwortlichen gegen den Auftragsverarbeiter
Durch die Auftragsverarbeitung ermöglicht die DS-GVO dem Verantwortlichen, Datenverarbeitungsvorgänge auszulagern, um sich durch die Aufteilung der Verarbeitungsfunktionen Effizienzvorteile zu erschließen.[58] Dies kann beispielsweise durch ein IT-Outsourcing geschehen. In der Konstellation stellt der Auftragsverarbeiter insoweit keinen anderen Verantwortlichen dar, vielmehr verarbeitet er die Daten im Namen des Verantwortlichen.[59] Die Verarbeitung wird dem Verantwortlichen zugerechnet, daher ist der Auftragsverarbeiter gegenüber dem Verantwortlichen auch weisungsgebunden.[60] Der Verantwortliche kann allerdings die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung auf den Auftragsverarbeiter delegieren.[61] Dies ist sinnvoll, da der Auftragsverarbeiter regelmäßig weitreichendere informationstechnische Kenntnisse hat. Nach Art. 28 Abs. 1 DS-GVO ist der Verantwortliche verpflichtet, nur mit Auftragsverarbeitern zu arbeiten, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen[62] – hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen umgesetzt werden, damit die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.
Gleichwohl normiert die DS-GVO auch ausdrücklich eigene gesetzliche Pflichten und damit eine eigene Verantwortlichkeit des Auftragsverarbeiters. So ist er beispielsweise verpflichtet, die Weisungen des Verantwortlichen zu befolgen (Art. 29 DS-GVO), ein Verarbeitungsverzeichnis zu führen (Art. 30 Abs. 2 DS-GVO) sowie geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung zu gewährleisten (Art. 32 DS-GVO). Ferner trifft ihn die Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden (Art. 31 DS-GVO) und zur Meldung von sogenannten „Datenpannen“ an den Verantwortlichen (Art. 33 Abs. 2 DS-GVO). Verletzt der Auftragsverarbeiter diese eigenen gesetzlichen Pflichten, treffen ihn die Haftungs- und Bußgeldvorschriften nach Art. 82, 83 DS-GVO unmittelbar selbst. Dies kommt im Vergleich zur früheren Rechtslage einem „Paradigmenwechsel“ gleich[63] und bedeutet in Zeiten der Verlagerung von Prozessen und Daten in die Cloud und der zunehmenden Gefährdung durch Cyberrisiken auch für Auftragsverarbeiter ein erheblich gesteigertes Risikopotential.
Da das Konstrukt der Auftragsverarbeitung nicht den oben genannten Fallgruppen zuzuordnen ist, kann die aufgefundene Rechtsprechung nicht uneingeschränkt übertragen werden. So sieht das Gesetz den Auftragsverarbeiter bei Verstößen gegen seine datenschutzrechtlichen Pflichten als möglichen Bußgeldadressaten vor, Art. 83 Abs. 4 ff. DS-GVO, Erwägungsgrund 79 zur DS-GVO betont, dass es bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter – auch mit Blick auf die Überwachungsmaßnahmen und die sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Zuordnung der Verantwortlichkeiten bedarf. Anhand der Zuweisung der Verantwortungsbereiche soll die Aufsichtsbehörde in die Lage versetzt werden, den richtigen Bußgeldadressaten zu identifizieren. Ebenso spricht die an die individuellen Verhältnisse des Adressaten angepasste Höhe des Bußgeldes dafür, dass es sich um eine abschließende Entscheidung der Aufsichtsbehörde handelt. Daher würde das Zivilrecht die Ermessensentscheidung der Aufsichtsbehörde „korrigieren“, was nach dem Sinn und Zweck von Bußgeldern nicht gewollt sein kann. Zudem legt das Gesetz fest, dass die Bemessung des Bußgeldes anhand des Umsatzes und unter Berücksichtigung der individuellen Verhältnisse zu erfolgen hat, wozu etwa eine drohende Zahlungsunfähigkeit des Adressaten zählt.[64] Daher könnte der Auftragsverarbeiter in Anbetracht der enormen Höhe eines gegen einen Verantwortlichen verhängten und auf dessen Verhältnisse angepassten Bußgeldes in die Gefahr der Insolvenz geraten, wenn er verpflichtet wäre, die Geldbuße zu übernehmen. Eine drohende Zahlungsfähigkeit von Dritten wird bei Festsetzung der Bußgeldhöhe durch die Aufsichtsbehörde nicht berücksichtigt. Auch dies kann vom Gesetzgeber nicht gewollt sein, sodass von einer persönlichen Sanktionierung, die nicht im Wege zivilrechtlicher Vereinbarungen übertragen werden kann, auszugehen sein dürfte.
Ist der Verantwortliche also der Auffassung, dass den Auftragsverarbeiter eine wesentliche Verantwortung trifft, ist im Rahmen der vorherigen Anhörung durch die Aufsichtsbehörde auf die entsprechende Verantwortlichkeit des Auftragsverarbeiters hinzuweisen und das Risiko einer Nicht-Erstattungsfähigkeit des Bußgeldes im Rahmen der Abstimmungen im Vorfeld zu berücksichtigen. Die Aufsichtsbehörde hat in die Aufteilung der Verantwortlichkeitsbereiche von „außen“ nur eingeschränkt Einblick.
Anders als im Kartellrecht wurde für die DS-GVO-Bußgelder bislang nicht darauf abgestellt, dass sich der Ermittlungsaufwand für die Aufsichtsbehörden durch die Anordnung einer gesamtschuldnerischen Haftung mehrerer (Gruppen-) Gesellschaften verringert und die Kommission eine persönliche Beteiligung (der Vertreter der Muttergesellschaft) nicht nach weisen muss.[65] Bei der Verhängung einer Geldbuße gegen den Verantwortlichen oder den Auftragsverarbeiter muss sich die Aufsichtsbehörde gerade Gedanken über den Tatbeitrag des jeweiligen Unternehmens machen. Die kartellrechtlichen Überlegungen können daher auf das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter nicht eins zu eins übertragen werden. Eine gesamtschuldnerische Haftung ordnet die DS-GVO ausdrücklich nur für die Ansprüche eines Betroffenen auf Schadensersatz gegen Verantwortlichen und Auftragsverarbeiter (vgl. Art. 84 Abs. 4 DS-GVO), nicht aber für die Verhängung von Bußgeldern an. Gleichwohl könnte nach nicht unumstrittener Auffassung der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) die Muttergesellschaft für Datenschutzverstöße ihrer Tochtergesellschaften belangt werden.[66]
Denkbar wäre, ausnahmsweise einen Regress zuzulassen, wenn der Verantwortliche einen in informationstechnischer Hinsicht sachkundigen Auftragsverarbeiter beauftragt und aufgrund eines Fehlers des Auftragsverarbeiters ein Bußgeld gegen den Verantwortlichen verhängt wird. Hat der Verantwortliche alles ihm Zumutbare getan, um seinen oben genannten datenschutzrechtlichen Pflichten nachzukommen, wie etwa eine ausreichende Vereinbarung getroffen und den Auftragsverarbeiter objektiv sorgfältig und gewissenhaft ausgewählt und kontrolliert, und kommt es dennoch zu einem Datenschutzverstoß, wäre dem Verantwortlichen insoweit kein Vorwurf zu machen.
Die Aufsichtsbehörde wäre in einem solchen Fall gehalten, die Verursachungsbeiträge aufzuklären und mit dem Bußgeld den Auftragsverarbeiter und nicht den Verantwortlichen zu adressieren. Sollte dies nicht geschehen, ist zweifelhaft, ob ein Regress zugelassen werden sollte. Der Verantwortliche müsste zunächst jedenfalls die Bußgeldentscheidung mit den zulässigen Rechtsmitteln angreifen. Es ist nicht ohne weiteres ersichtlich, welche Verteidigungsmittel ein Verantwortlicher nicht vorbringen könnte oder dürfte, um von der behördlichen Einschätzung abweichende Verursachungs- oder Verschuldensbeiträge von Verantwortlichem und Auftragsverarbeiter geltend zu machen. Um eine reibungslose Kommunikation mit den Aufsichtsbehörden sowie den Gerichten zu gewährleisten, sollten vertragliche Geheimhaltungspflichten so ausgestaltet werden, dass die Offenlegung von Informationen gegenüber den Aufsichtsbehörden und Gerichten möglich bleibt. Die Bußgeldandrohung ist zentral, um beim Verantwortlichen die pflichtgemäße Wahrnehmung seiner Kontroll- und Überwachungspflichten durchzusetzen. Das Verhältnis von Verantwortlichem und Auftragsverarbeiter ist nur bedingt mit der Fallgestaltung vergleichbar, dass sich der Bußgeldadressat fachkundigen Rat bei einem Berater einholt, um der Gefahr einer Sanktionierung zu begegnen und aufgrund der nicht sachgerechten Beratung ein Bußgeld verhängt wird. Zwar kann es im Fall einer Auftragsverarbeitung sein, dass der Verantwortliche gerade deshalb einen Auftragsverarbeiter beauftragt, weil er selbst nicht ausreichende informationstechnische Kenntnisse, beispielsweise bezüglich der Datensicherheit, besitzt. Daher verlässt sich auch hier der Bebußte gewissermaßen berechtigterweise auf die Fachkunde eines anderen. Der Schwerpunkt der Leistung wird regelmäßig aber nicht auf der Beratungsleistung liegen und die Kontroll- und Überwachungspflicht bleibt kraft gesetzlicher Anordnung beim Verantwortlichen.
6. Regress zwischen gemeinsam Verantwortlichen
Die gemeinsame Verantwortlichkeit ist eine Konstellation, die aufgrund ihrer Besonderheit im Datenschutzrecht nicht mit den in der Rechtsprechung behandelten Sachverhalten vergleichbar ist. Art. 26 DS-GVO bestimmt, dass gemeinsam Verantwortliche in einer Vereinbarung in transparenter Form festlegen müssen, wer von ihnen welche Pflichten nach der DS-GVO erfüllt. Die Vereinbarung soll also einer klaren Zuteilung der Verantwortlichkeiten dienen, womit zugleich der zunehmend komplexeren Realität von informationstechnischen Vorgängen Rechnung getragen wird. Sie soll dadurch Rechtssicherheit bezüglich Verantwortung und Haftung gewährleisten.[67] Die Verantwortungsbereiche müssen nachvollziehbar, also ohne weiteres erkennbar und verifizierbar sein.[68] Diesbezüglich kann der Erwägungsgrund 79 zur DS-GVO herangezogen werden; die Aufsichtsbehörde soll anhand der Vereinbarungen feststellen können, welche Zuteilung der Verantwortlichkeiten die Beteiligten gewählt haben, um anhand dessen den zutreffenden Bußgeldadressaten zu identifizieren. Erforderlich ist, dass die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen widerspiegeln.
Sofern die aufsichtsbehördliche Entscheidung als final anzusehen ist, dürfte hier ein Regress regelmäßig unzulässig sein. Denn Sinn des Bußgeldes ist es, genau den durch die Aufsichtsbehörde identifizierten Täter für sein Fehlverhalten zu sanktionieren; es kann nicht gewollt sein, diese abschließende Entscheidung durch zivilrechtliche Vereinbarungen auszuhebeln.[69] Dies verdeutlicht, dass eine detaillierte, die tatsächlichen Umstände widerspiegelnde Vereinbarung zwischen den gemeinsam Verantwortlichen unverzichtbar ist, um nicht für das Fehlverhalten der anderen Partei sanktioniert zu werden. Sollten die Parteien dies allerdings versäumt haben, ist in dieser Konstellation noch am ehesten denkbar, dass ein berechtigtes Interesse besteht, eine Bußgeldentscheidung im Innenverhältnis zwischen den Parteien zivilrechtlich zu überprüfen.
7. Vertragliche Regelungsmöglichkeiten
Daraus folgt, dass pauschale Freistellungsvereinbarungen bezogen auf Bußgelder nach hier vertretener Auffassung unwirksam wären. In Ausnahmefällen, in denen eine abschließende Klärung des Sachverhalts und der Verursachungsbeiträge im Rahmen des Bußgeldverfahrens nicht oder fehlerhaft erfolgte, könnte ein Bußgeld als erstattungsfähiger Schaden angesehen werden. Aus Sicht anderer Beteiligter als Beschäftigter, die einen Regress fürchten, bestünde insoweit ein Bedürfnis für eine von der gesetzlichen Regelung abweichende vertragliche Haftungsregelung. Im Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter oder von gemeinsam Verantwortlichen hätte eine vertragliche Klarstellung, dass unter die vereinbarte Haftungsobergrenze auch Ansprüche auf Erstattung von Bußgeldern fallen, den Nachteil, dass man sich vor dem Hintergrund der bisherigen Rechtsprechung eine Argumentation zur Nicht-Erstattungsfähigkeit von Bußgeldern abschneidet und die Haftungsregelung im Übrigen dem Risiko der Gesamtunwirksamkeit aussetzt. Es verbleibt im Übrigen die praktische Herausforderung, dass eine für die vertragliche Leistungsbeziehung ansonsten als interessengerecht angesehene Haftungsbegrenzung angesichts der unterschiedlichen Höhe der potentiellen Bußgeldandrohungen zu verhandeln wäre und eine unterschiedliche wirtschaftliche Leistungsfähigkeit der Beteiligten zu berücksichtigen hätte.
Auch handelt es sich bei einem auf § 280 BGB basierenden Anspruch wegen der schuldhaften Verletzung vertraglicher Pflichten eines Unternehmens als Verantwortlicher gegen einen Auftragsverarbeiter um keine mit dem Innenausgleich nach § 426 BGB als Folge einer gesamtschuldnerischen Bußgeld-Haftung mehrerer Gruppenunternehmen vergleichbare Konstellation.
Dies spricht dagegen, in die vertragliche Regelung zur Haftung für Schäden ausdrückliche Aussagen zur (Höhe der) Erstattungsfähigkeit von Bußgeldern aufzunehmen.[70]
III. Fazit
Vieles spricht dafür, dass Geldbußen wegen DS-GVO-Verstößen von dem – von der Aufsichtsbehörde ausgewählten – Adressaten des Bußgeldes selbst zu tragen sind und eine Korrektur der Entscheidung der Aufsichtsbehörde über das Zivilrecht unzulässig ist. Denn die von den Gerichten in kartellrechtlichen Sachverhalten angeführten Argumente lassen sich im Grundsatz auf Geldbußen wegen Datenschutzverstößen übertragen.
Sieht man sich den grundlegenden Zweck von Bußgeldern an, müssen diese den von den Aufsichtsbehörden identifizierten Täter treffen, um dessen zukünftiges Verhalten zu beeinflussen. Die generalpräventive Wirkung der Geldbuße würde entfallen, wenn sich der eigentliche Adressat bei seinen Organmitgliedern, Beschäftigten oder Vertragspartnern ohne Weiteres entlasten könnte.[71]
Auch würde die als grundsätzlich abschließend anzusehende Entscheidung der Aufsichtsbehörden über den Adressaten untergraben werden, wenn durch zivilrechtliche Regelungen eine Korrektur erreicht werden könnte. Eine Kontrolle und Korrektur der Bußgeld-Entscheidung ist in erster Linie den für die Überprüfung der Behördenentscheidung zuständigen Gerichten vorbehalten.[72] Dies gilt jedenfalls für das Verhältnis zwischen Auftragsverarbeiter und Verantwortlichem sowie zwischen mehreren gemeinsam Verantwortlichen. Hinsichtlich der Auftragsverarbeitung und der Verarbeitung in gemeinsamer Verantwortlichkeit zeigt dies die Notwendigkeit, in den getroffenen Vereinbarungen zutreffend und detailliert die Aufgaben- und Verantwortungsbereiche darzustellen, damit die Aufsichtsbehörden den richtigen Bußgeldadressaten anhand der Vereinbarung identifizieren können. Ohne eine solche Abgrenzung der Verantwortungsbereiche laufen die Parteien Gefahr, bei einem Verstoß auch ohne tatsächliche Verantwortung sanktioniert zu werden.
Es bleibt im Übrigen abzuwarten, ob und in welchen Ausnahmefällen die Gerichte in Abweichung von diesen Grundsätzen für DS-GVO-Bußgeldentscheidungen einen zivilrechtlichen Regress dennoch zulassen. Pauschale Freistellungsvereinbarungen bezogen auf Bußgelder empfehlen sich vor diesem Hintergrund nicht. Diese wären unwirksam.
*Literatur und Rechtsprechungen wurden bis Mai 2021 berücksichtigt
Dr. Stefanie Hellmich ist Rechtsanwältin und Partner bei der Luther Rechtsanwaltsgesellschft mbH in Frankfurt.
Kata Èles ist Rechtsreferendarin am Landgericht Darmstadt und war bis März 2021 als wissenschaftliche Mitarbeiterin bei der Luther Rechtsanwaltsgesellschaft mbH tätig.
[1] Sog. „funktionaler Unternehmensbegriff“, vgl. LG Bonn, Urteil v. 11.11.2020 – 29 OWi 1/20, NRWE Rn. 92 f.
[2] Pressemitteilung abrufbar unter: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-verhangtbussgeld-uber-10-4-millionen-euro-gegen-notebooksbilliger-de-196019.html.
[3]Https://www.baden-wuerttemberg.datenschutz.de/lfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg – Wirksamer Datenschutz erfordert regelmäßige Kontrolle und Anpassung | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.
[4] Palandt/Grüneberg, § 276 BGB Rn. 35.
[5] BAG, Urt. v. 25.01.2001 – 8 AZR 465/00 (Hamm), NZA 2001, 653 f.; so auch LAG Köln, Urt. v. 29.02.2012 – 9 Sa 1464/11, BeckRS 2012, 69448; LAGE § 670 BGB Nr. 11; LAG Schleswig-Holstein, Urt. v. 30.03.2000 – 4 Sa 450/99, BeckRS 2000, 30468364; LAG Hamm, Urt. v. 20.12.1991 – 18 Sa 506/91, BeckRS 1991, 30983102; NJW 1991, 861.
[6] BAG, Urt. v. 25.01.2001 – 8 AZR 465/00 (Hamm), NZA 2001, 653 f.; zur strafrechtlichen Zulässigkeit der nachträglichen Erstattung durch den Arbeitgeber trotz fehlenden zivilrechtlichen Anspruchs des Arbeitnehmers Holly/Friedhofen NZA 1992, 145; im Einzelfall einen nachträglichen Aufwendungsersatzanspruch aus § 670 BGB bei Geldstrafen und -bußen bejahend Kapp NJW 1992, 2796, 2800.
[7] BGH, NJW 1997, 518 (519).
[8] Langheid/Wandt, 2. Teil. Systematische Darstellungen 3. Kapitel. Versicherungssparten 320. Directors & Officers-Versicherung Rn. 213, beckonline; Bruck/Möller/Johannsen, 8. Aufl., Bd. IV, Anm. B 8 geht von Sittenwidrigkeit aus. Zur Nichtigkeit von vorherigen Erstattungszusagen des Unternehmens gemäß § 134 BGB vgl. KölnKommAktG/Mertens § 84 Rn. 82; Bastuck S. 135, 136, 140.
[9] LAG Rheinland-Pfalz Urt. v. 26.01.2010 – 3 Sa 497/09, BeckRS 2010, 68132, beck-online.
[10] LAG Düsseldorf, Teilurt. v. 20.01.2015 – 16 Sa 459/14, NJOZ 2015, 782, BAG, NJW 2018, 184, 187.
[11] Grund dafür war die Unzuständigkeit des LAG, da es sich in der Sache um eine kartellrechtliche Vorfrage im Sinne von § 87 Satz 2 GWB handelte, welche die Zuständigkeit des Landgerichts begründete. Vgl. DuxWenzel/Janssen, CB 2021, 87.
[12] BAG, NJW 2018, 184, 187.
[13] LAG Düsseldorf, Teilurt. v. 20.01.2015 – 16 Sa 459/14, NJOZ 2015, 782, 790.
[14] LAG Düsseldorf, Teilurt. v. 20.01.2015 – 16 Sa 459/14 = NJOZ 2015, 782, 790, in einem obiter dictum gleicher Auffassung LG Saarbrücken, v. 15.09.2020, NZKart 2021, 64-65.
[15] LAG Düsseldorf, Teilurt. v. 20.01.2015 – 16 Sa 459/14, NJOZ 2015, 782, 791.
[16] Ebenda.
[17] Bachmann, BB 2015, 911; Dreher, FS Konzen, 2006, 84, 104 ff.; Gaul, AG 2015, 109, 110 f.; Goette, ZHR 176, 588, 603 f.; Grunewald, NZG 2016, 1121, 1122; 76, 588, 603 Horn, ZIP 1997, 1129, 1136; Kapp/ Gärtner, CCZ 2009, 168; Kollmann/Aufdermauer, BB 2015, 1024; Krause, BB Beilage 2007 Nr. 7, S. 2, 13; Labusga, VersR 2015, 634; Lotze/Smolinski, NZKart 2015, 254, 255 f., 258; Thomas, NZG 2015, 1409, 1416.
[18] MüKoAktG/Spindler, 5. Aufl. 2019, AktG § 93 Rn. 194; Hüffer/Koch/ Koch, 15. Aufl. 2021, AktG § 93 Rn. 48; Backhaus/Brand, jurisPR-HaGesR 4/2021 Anm. 5; a.A. ausdrücklich LAG Düsseldorf, Teilurt. v. 20.01.2015 – 16 Sa 459/14, NJOZ 2015, 782, 789; Stancke, BB 2020, 1667-1672.
[19] Petersen, in: van Kann, Vorstand der AG, 3. Aufl. 2021, Kapitel III: Verantwortlichkeit und Haftung, Rn. 104; Bayer/Scholz, NZG 2014, 926 ff.; Hoffmann, NJW 2012, 1393 ff.; Koch, AG 2012, 429 ff.; Koch, AG 2014, 513 ff., m.w.N.; Koch, in: Hüffer/Koch, AktG, § 93, Rn. 51, m.w.N.; Vetter, NZG 2014, 921 ff
[20] BGH, NJW 1997, 518, NJW-RR 1997, 565 Ls.; BGHZ 23, 222, NJW 1957, 586; RG, Urt. v. 10.06.1942 – III 14/42.
[21] BGH, NJW 1997, 518, NJW-RR 1997, 565, Ls.; Entscheidung u.a. bestätigt durch BGH, Urt. v. 15.04.2010 – IX ZR 189/09, DStR 2010, 1695 sowie LAG Düsseldorf, Teilurt. v. 20.01.2015 – 16 Sa 459/14, NJOZ 2015, 782; BAG, NJW 2001, 1962, NZA 2001, 653.
[22] LAG Düsseldorf, Teilurt. v. 20.01.2015 – 16 Sa 459/14, NJOZ 2015, 782.
[23] BAG, NJW 2001, 1962, NZA 2001, 653.
[24] EuGH, Urt. v. 10.04.2014 – C-247/11 P und C-253/11 P, NZKart 2014, 181, 184, Rn. 152 und 157 – Areva.
[25] BGH, Urt. v. 18.11.2014 – WRP 2015, 201-208, GRUR-RS 2015, 00033.
[26] Taeger/Gabel/Moos/Schefzig, 3. Aufl. 2019, DS-GVO Art. 83 Rn. 83
[27] BGHZ 190, 145, – ORWI; BGH, Urt. v. 18.11.2014 – KZR 15/12, NJW 2015, 1763.
[28] EuGH, EuZW 2006, 529, Rn. 60, 91 ff. – Manfredi (Rs C 295/4); EuGH, EuZW 2001, 715 Rn. 25 ff. – Courage (Rs. 453/99).
[29] Nolde PinG 2017, 114 (118 f.); Eckhardt/Menz DuD 2018, 139 (143); BeckOK-Brodowski/Nowak § 41 BDSG 2018 Rn. 13.
[30] Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 83, Rn. 17.
[31] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20, NRWE Rn. 49 ff.; so auch Taeger/Gabel/Moos/Schefzig, 3. Aufl. 2019, DS-GVO Art. 83 Rn. 81-90; es genüge, dass irgendein Mitarbeiter des Unternehmens gehandelt hat, der nicht einmal namentlich bekannt sein muss. Faust/Spittka/Wybitul, ZD 2016, 120, 121; vgl. Bayerisches Landesamt für Datenschutzaufsicht, Kurzpapier 7 zur DS-GVO – Sanktionen nach der DS-GVO.
[32] Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20190405_Entschliessung_Unternehmenshaftung.pdf.
[33] 526 OWi LG) 212 Js-OWi 1/20 (1/20), Pressemitteilung der Deutsche Wohnen SE vom 23.02.2021, abrufbar unter: https://www.deutschewohnen.com/ueber-uns/presse-news/pressemitteilungen/landgerichtberlin-stellt-bussgeldverfahren-gegen-deutsche-wohnen-ein/
[34] Pressemitteilung des BerlBfDI vom 03.03.2021, abrufbar unter: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/ pressemitteilungen/2021/20210303-PM-Deutsche_Wohnen.pdf.
[35] LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20, NRWE Rn. 49 ff.; Taeger/ Gabel/Moos/Schefzig, 3. Aufl. 2019, DS-GVO Art. 83 Rn. 81-90; Faust/ Spittka/Wybitul, ZD 2016, 120, 121; Paal, RDV 2021, 71, 73; Bayerisches Landesamt für Datenschutzaufsicht, Kurzpapier 7 zur DS-GVO – Sanktionen nach der DS-GVO.
[36] Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 3. April 2019, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/en/20190405_Entschliessung_Unternehmenshaftung.pdf.
[37] Pressemitteilung des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg vom 18.06.2019, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/lfdi-badenwuerttemberg-verhaengt-erstes-bussgeld-gegen-polizeibeamten/
[38] Eßer/Steffen, CR 2018, 289 (290 f.); Nils Steffen, Zivilrechtliche Haftung von Datenschutzbeauftragten für BußgelderHaftung für „durchgereichte“ Bußgelder nach der DS-GV, DuD 2018, 145-150.
[39] Thiel/Wybitul/Zimmer-Helfrich (Interview): Bußgelder wegen Datenschutzverstößen – aus Sicht von Aufsichtsbehörden und Unternehmen, ZD 2020 3, (4); Eßer/Steffen, CR 2018, 289 (290 f.).
[40] BeckOK DatenschutzR/Holländer, 35. Ed. 01.08.2020, DS-GVO Art. 83 Rn. 8.1; Steffen, DuD 2018, 145 (150); Eßer/Steffen, CR 2018, 289 (290 f.).
[41] Bergt, in: Kühling/ Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 83 Rn. 11.
[42] Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 47 f
[43] Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 83, Rn. 17.
[44] Für kartellrechtliche Pflichtverletzungen, vgl. Stancke, BB 2020, 1667, 1668.
[45] Bußgelder gegen Zertifizierungs- und Überwachungsstellen i.S.v. Art. 83 Abs. 4 lit. b) und c) werden im Folgenden nicht behandelt.
[46] Bergt, in: Kühling/ Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 83 Rn. 11 für die Pflichten in Art. 83 Abs. 5 und 6; Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 83, Rn. 17 soweit § 130 OWIG einschlägig ist, im Übrigen eine Haftung des gegen die Verordnung verstoßenden Mitarbeiters selbst ablehnend; eine Haftung von Personen ablehnend Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 83 Rn. 47 f.; in Bezug auf den betrieblichen Datenschutzbeauftragten eine Haftung desselben ablehnend Eßer/Steffen, CR 2018, 289 (290 f.); Nils Steffen, Zivilrechtliche Haftung von Datenschutzbeauftragten für Bußgelder – Haftung für „durchgereichte“ Bußgelder nach der DS-GV, DuD 2018, 145-150.
[47] LG Bonn, Urteil v. 11.11.2020 – 29 OWi 1/20, NRWE Rn. 66.
[48] Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf.
[49] Ausführlich: Eßer/Steffen, CR 2018, 289 (292 f.) zum Regress gegen den betrieblichen Datenschutzbeauftragten mit dem Argument, dass es für eine zivilrechtliche Haftung des Datenschutzbeauftragten regelmäßig an einem kausalen Schaden fehle, da ein Bußgeld nicht vom Schutzzweck des Art. 39 DS-GVO erfasst sei.
[50]Https://www.baden-wuerttemberg.datenschutz.de/lfdi-badenwuerttemberg-verhaengt-erstes-bussgeld-gegen-polizeibeamten/.
[51] LAG Düsseldorf Schlussurt. v. 27.11.2015 – 14 Sa 800/15, BeckRS 2016, 65558 Rn. 164, beck-online.
[52] LAG Rheinland-Pfalz Urt. v. 26.01.2010 – 3 Sa 497/09, BeckRS 2010, 68132, beck-online; kritisch u.a.: Backhaus/Brand, jurisPR-HaGesR 4/2021 Anm. 5.
[53] So für Verstöße im Kartellrecht argumentierend: LAG Düsseldorf, Teilurt. v. 20.01.2015 – 16 Sa 459/14, NJOZ 2015, 782, 790.
[54] MüKoAktG/Spindler, 5. Aufl. 2019, AktG § 93 Rn. 194; Hüffer/Koch/ Koch, 15. Aufl. 2021, AktG § 93 Rn. 48, vgl. Fn 19
[55] Vgl. die Ausführungen von Stancke, BB 2020, 1667,1668, dass die kartellrechtliche Bußgeldentscheidung nicht zwingend eine präjudizielle Wirkung für den Zivilrechtsstreit haben muss.
[56] Sinngemäß Thiel/Wybitul/Zimmer-Helfrich (Interview): Bußgelder wegen Datenschutzverstößen – aus Sicht von Aufsichtsbehörden und Unternehmen, ZD 2020, 3; ausdrücklich so bezüglich StVO-Bußgeld: LAG Rheinland-Pfalz Urt. v. 26.01.2010 – 3 Sa 497/09, BeckRS 2010, 68132, beck-online.
[57] So bezüglich StVO-Bußgeld: LAG Rheinland-Pfalz Urt. v. 26.01.2010 – 3 Sa 497/09, BeckRS 2010, 68132, beck-online, a.A. Taeger/Gabel/Moos/ Schefzig, 3. Aufl. 2019, DS-GVO Art. 83 Rn. 83 für die Wirksamkeit einer vertraglichen Regressklausel im Verhältnis Auftragsverarbeiter und Verantwortlichem und gemeinsam Verantwortlichen.
[58] Paal/Pauly/Martini, DS-GVO BDSG, 3. Aufl. 2021, Art. 28 DS-GVO Rn. 8.
[59] Erwägungsgrund 81 zur DS-GVO.
[60] Kurzpapier Nr. 13 der DSK, S. 1, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf.
[61] Kurzpapier Nr. 13 der DSK, S. 2, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf.
[62] Erwägungsgrund 81 zur DS-GVO.
[63] Ingold, in Sydow: DS-GVO, 2. Aufl., 2018, Art (Fußn. 7), Art. 28 Rn. 13.
[64] Thiel/Wybitul/Zimmer-Helfrich (Interview): Bußgelder wegen Datenschutzverstößen – aus Sicht von Aufsichtsbehörden und Unternehmen, ZD 2020 3, (4).
[66] Art.-29-Datenschutzgruppe, WP 253, S. 6; Datenschutzkonferenz, Kurzpapier Nr. 2 – Aufsichtsbefugnisse/Sanktionen, S. 2, vgl. Moos/Schefzig, in: Taeger/Gabel, 3. Aufl. 2019, DS-GVO Art. 83 Rn. 86 zu der Aussage, dass gesamtschuldnerische Haftung nach ständiger Rechtsprechung des EuGH möglich ist, z.B. EuGH, Urt. v. 20.1.2011 – C-90/09 P, Slg. 2011, I-1, Rn. 85, 89; zur Durchgriffs-Haftung ausführlich Holländer, in: Wolff/ Brink, BeckOK DatenschutzR, Art. 83 Rn. 12.
[67] BeckOK Datenschutzrecht/Spoerr, Art. 26 Rn. 2.
[68] BeckOK Datenschutzrecht/Spoerr, Art. 26 Rn. 5.
[69] Beispielsweise Tribess, in: Beck’sches Formularbuch IT-Recht, Weitnauer/Mueller-Stöfen, 5. Aufl. 2020, 4. Vereinbarung zwischen gemeinsamen Verantwortlichen – Joint Controller Agreement, Anm. 1-30.
[70] A.A. Moos/Schefzig, in: Taeger/Gabel/ 3. Aufl. 2019, DS-GVO Art. 83 Rn. 83, „eine vertragliche Regressklausel für Bußgelder erscheine wirksam“.
[71] LAG Düsseldorf, Teilurt. v. 20.01.2015 – 16 Sa 459/14, NJOZ 2015, 782.
[72] Korrektur hinsichtlich der Höhe: LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20.