Category Archives: Bußgeld

Hamburger Datenschutzbehörde: Bußgeld bei mangelhaft durchgeführten Asset Deal

Posted on by

Die Hamburger Datenschutzbehörde hat jüngst ihren Tätigkeitsbericht für das Jahr 2021 veröffentlicht (PDF). Dort berichtet die Behörde (ab S. 70) auch über zwei Bußgelder gegen Unternehmen, weil Widersprüche von Kunden im Rahmen eines Asset Deals (fehlerhaft) nicht beachtet wurden.

Hintergrund der Ordnungswidrigkeitenverfahren war die Ausgliederung der Heizenergiesparte eines Energieversorgers und die anschließende Veräußerung der ausgegliederten Sparte. Hierbei sollten Kunden (mit ihren Verträgen) auf das kaufende Unternehmen übergehen. Die Kunden, die von dem Übergang betroffen waren, wurden über die Vertragsübergänge ihrer Strombelieferungsverträge informiert und ihnen wurde ein Widerspruchsrecht eingeräumt.

Rechtsgrundlage: Interessenabwägung

Relevant ist zunächst, dass die Aufsichtsbehörde hier nicht etwa das wohl durchgeführte Widerspruchs-Modell an sich kritisiert. Nach Ansicht der DSK in ihrem Beschluss aus dem Jahr 2019 zum Thema „Asset Deal“ (PDF), bedarf es beim Übergang von Daten in laufenden Vertragsbeziehungen einer „datenschutzrechtlichen Zustimmung“, die aber in der zivilrechtlichen Genehmigung als Minus enthalten sei. Gleichzeitig werden die Fallgruppen im Beschluss der DSK aber alle unter dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO (also der Interessenabwägung) diskutiert. In der Vergangenheit wurde daher diskutiert, was die DSK hiermit konkret meint. Ob nun eine Einwilligung erforderlich ist oder eine Interessenabwägung ebenfalls möglich erscheint. Die Informationen der Hamburger Behörde scheinen deutlich zu machen, dass es keiner datenschutzrechtlichen Einwilligung bedarf, sondern dass die Übermittlung von Daten der Kunden auf der Grundlage von einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen kann.

Fehler: Datenübermittlung trotz Widerspruch

In dem Verfahren aus Hamburg, sollten im Falle eines erklärten Widerspruchs keine personenbezogenen Daten der Kunden an das neue Unternehmen übermittelt werden. Natürlich schlug dann die Realität zu. Trotz ordnungsgemäß erklärtem Widerspruch von Kunden kam es in einem gewissen Ausmaß dennoch zur Migration von Strombelieferungsverträgen auf den Erwerber der Heizenergiesparte.

„Dadurch waren Kundendaten auch in den Fällen an das neue Unternehmen übermittelt, in denen die Betroffenen ordnungsgemäß einen entsprechenden Widerspruch erklärt hatten“.

Hintergrund dessen waren nach Angabe der Aufsichtsbehörde Fehler bei der Verarbeitung der Widersprüche durch den eingesetzten Auftragsverarbeiter des veräußernden Unternehmens.

Die Aufsichtsbehörde benennt nicht konkret den DSGVO-Verstoß. Jedoch kann man vermuten, dass wohl von einer unzulässigen Übermittlung der Daten ausgegangen wurde, also ein Verstoß gegen Art. 6 Abs. 1 DSGVO oder eine Nichtbeachtung des Widerspruchs, also ein Verstoß gegen Art. 21 Abs. 1 DSGVO vorlag.  

Die Aufsichtsbehörde verhängt nach den Angaben im Tätigkeitsbericht zwei Bußgelder in Höhe von je 12.500 EUR. Im Bericht heißt es: „Aufgrund der Vielzahl der Verstöße war es angezeigt, Bußgeldverfahren gegen die Unternehmen einzuleiten“. Ich vermute, dass die Behörde hier also sowohl ein Bußgeld gegen den Verkäufer als auch gegen das erwerbende Unternehmen verhängt hat.

Fazit

Asset Deals sind in der Praxis bei der Übernahme von Kunden(verträgen) immer auch mit datenschutzrechtlichen Fragen verbunden. Der Fall aus Hamburg zeigt gut, dass der Datenschutz hier nicht unüberwindbare Hürden aufstellt. Dennoch ist bei der Umsetzung besonders darauf zu achten, dass personenbezogene Daten nicht aus Versehen oder fehlerhaft übermittelt werden. Daher sind auch Konstellationen, in denen zB zunächst einmal alle Kundendaten an ein erwerbendes Unternehmen übermittelt werden und man dann die widersprechenden Kunden aussortiert, kritisch zu sehen.

Datenschutzbehörden (noch) nicht zuständig für TTDSG-Bußgelder? – Berlin plant Anpassungen

Posted on by

Die Frage, welche Aufsichtsbehörden für die Verhängung von Bußgeldern nach § 28 Abs. 1 und 2 TTDSG zuständig ist, wurde bereits in der Vergangenheit diskutiert. Diese Frage dürfte sich insbesondere auch bei möglichen Verstößen gegen § 25 TTDSG stellen.

Unklarheiten bei der Zuständigkeit für Bußgelder – gesetzliche Grundlage erforderlich

Hintergrund dieser Diskussion ist, dass die ePrivacy-RL, als europäische Grundlage des TTDSG, gerade nicht vorgibt, dass die Sanktionierung zwingend durch die nationalen Datenschutzbehörden erfolgen muss. Hierzu etwa der EDSA (Stellungnahme 5/2019, PDF): „Mitgliedstaaten können dieselbe Behörde mit der Zuständigkeit ausgestattet haben, die nationale Umsetzung der e-Datenschutz-Richtlinie (teilweise) durchzusetzen, aber sie können sich auch für eine oder mehrere andere Behörden entschieden haben,…“ (Rz. 63).

Nach § 1 Abs. 1 Nr. 8 TTDSG bleiben bei Telemedien die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 BDSG unberührt. Für das TTDSG bleibt es im Bereich der Telemedien bei der Durchführung des Gesetzes durch die Länder und damit bei datenschutzrechtlichen Regelungen bei der Zuständigkeit der Datenschutzaufsichtsbehörden der Länder. Das bedeutet, dass die Bundesländer (wie übrigens auch zum alten TMG bisher) ausdrücklich festlegen, ob ihre jeweilige Landesdatenschutzbehörde auch zuständig ist, die Einhaltung der Vorgaben des TTDSG zu überwachen und Bußgelder zu verhängen.

Landesdatenschutzbehörden in Deutschland sind daher nicht per se auch zuständige Aufsichtsbehörden zur Überwachung der Einhaltung des TTDSG, insbesondere von § 25 TTDSG als Umsetzung von Art. 5 Abs. 3 ePrivacy-RL. Nationale Datenschutzbehörden sind nur dann für eine Überwachung der Umsetzungsvorschriften der ePrivacy-RL zuständig, „wenn das nationale Gesetz ihnen diese Zuständigkeit überträgt“ (EDSA, Stellungnahme 5/2019, Rz. 68).

In der Vergangenheit haben diese Zuständigkeitsbestimmung für das TMG aF auch einige Bundesländer vorgenommen. So etwa in Berlin, in § 1 Nr. 16 ZustVO-OWiG.

In den letzten Monaten sind Aufsichtsbehörden in Deutschland aber oft davon ausgegangen, dass sie auch weiterhin für Bußgelder bei TTDSG-Verstößen zuständig sind, auch wenn dies nicht ausdrücklich geregelt ist.

Neue Entwicklung: Berliner Senat plant Anpassung der Zuständigkeitsregeln wegen des TTDSG

Nun veröffentlichte der Berliner Senat am 1.2.22 eine Pressemitteilung in der es heißt: „Der Senat von Berlin hat heute auf Vorlage der Senatorin für Inneres, Digitalisierung und Sport, Iris Spranger, den Entwurf einer Änderungsverordnung zur Kenntnis genommen. Damit soll die Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten an die seit 1. Dezember 2021 geltende Rechtslage des Telemediengesetzes und des Telekommunikation-Telemedien-Datenschutz-Gesetzes angepasst werden“.

Der Entwurf der Änderungen ist leider noch nicht öffentlich verfügbar. Jedoch wird in der Pressemitteilung erläutert: „Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit übernimmt die Zuständigkeit für die Verfolgung und Ahndung von Verstößen gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz“.

Na nu, mag man meinen. Aber wenn doch die Datenschutzbehörden ohnehin schon jetzt zuständig wären, Bußgelder für TTDSG-Verstöße zu verhängen, warum muss dann die gesetzliche Grundlage dafür angepasst werden?

Natürlich zeigt diese geplante Anpassung in Berlin, dass wohl die Landesregierung mindestens Unsicherheiten bei der Frage sieht, welche Aufsichtsbehörde für die Verhängung von Bußgeldern (insbesondere auch bei Verstößen gegen § 25 TTDSG) zuständig ist. Man könnte also die Frage stellen, ob die Zuständigkeit in Berlin, bis zur finalen Anpassung der ZustVO-OWiG, noch nicht geregelt ist. Dies hätte Auswirkungen auf mögliche Bußgeldverfahren.

Zudem finde ich die Überlegung spannend, was diese öffentlich angekündigte Anpassung in Berlin für andere Länder und dortige Aufsichtsbehörden bedeutet? Stehen diese nun ebenfalls unter Zugzwang, entsprechende landesrechtliche Zuweisungen zu erhalten? Denn die Argumentation, dass eine landesrechtliche Anpassung notwendig scheint, dürfte übertragbar sein. Ich kenne bisher noch keine explizite Zuständigkeitsregelung für TTDSG-Verstöße in anderen Bundesländern.

Bundesinnenministerium: DSGVO-Bußgelder müssen nach den Vorgaben des deutschen OWiG verhängt werden

Posted on by

Das Bundesministerium des Innern (BMI) hat das neue BDSG evaluiert und den entsprechenden Bericht nun veröffentlicht (abrufbar auf der Webseite, PDF). Für die Evaluation wurden u.a. öffentliche als auch private Stellen sowie Datenschutzaufsichtsbehörden befragt.

Von besonderer Praxisrelevanz ist das Ergebnis des Berichts zu der umstrittenen Anwendung der Vorgaben der §§ 30, 130 OWiG im Rahmen der Verhängung von Bußgeldern nach Art. 83 DSGVO.

Hintergrund

Nach § 41 Abs. 1 S. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO, soweit das BDSG nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Nach § 41 Abs. 2 S. 1 BDSG gelten auch für Verfahren wegen eines Verstoßes nach Art. 83 Abs. 4 bis 6 DSGVO die Vorschriften des OWiG.

Zu beachten ist, dass das OWiG keine unmittelbare bußgeldrechtliche Haftung von Unternehmen kennt. Bei einer Verhängung von Geldbußen müssen die Voraussetzungen des § 30 Abs. 1 OWiG erfüllt sein. Hierfür bedarf es einer Tat, die der juristischen Person zugerechnet werden kann. Der Täter dieser Tat muss zu dem in § 30 Abs. 1 Nr. 1 – 5 OWiG genannten Personenkreis stammen; erfasst sind sog. Leitungsperson.

Das bedeutet, dass Täter nach dem System des OWiG eine natürliche Person und gerade nicht das Unternehmen selbst sein kann.

In der Vergangenheit haben das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) einerseits und das LG Berlin (Beschl v. 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20)) andererseits unterschiedliche Auffassung dazu vertreten, ob dieser Verweis in § 41 BDSG auf die Vorgaben des deutschen OWiG europarechtskonform ist. Es wird darüber gestritten, ob nicht die DSGVO (insb. wegen des ErwG 150 DSGVO) eine unmittelbare Unternehmenshaftung (Verbandshaftung) vorschreibe und daher eine Anknüpfung an das Verhalten einer natürlichen Person (entsprechend § 30 OWiG) gegen die DSGVO verstoßen würde.

Einschätzung des BMI

Zunächst verweist das BMI in Bezug auf den Kontext der Schaffung von § 41 Abs. 1 BDSG darauf, dass sich der Gesetzgeber seinerzeit bewusst („und in Kenntnis der Rechtsauffassung der Datenschutzaufsichtsbehörden“) zu dieser Thematik dafür entschieden habe, die §§ 30, 130 OWiG nicht aus den nach § 41 Abs. 1 BDSG anwendbaren Vorschriften des OWiG auszunehmen.

Das BMI gibt also im Grunde den Hinweis, dass die Erklärung der Anwendbarkeit der §§ 30, 130 OWiG bewusst vom Gesetzgeber gewollt war, in Kenntnis der kritischen Stimmen.

Sodann begründet das BMI diese Entscheidung des Gesetzgebers. Diese basiere auf der Erwägung, dass Art. 83 Abs. 8 DSGVO es gerade den Mitgliedstaaten überlasse, die Einzelheiten des Bußgeldverfahrens zu regeln. Und dann führt das BMI aus (S. 62):


Etwas anderes ergibt sich im Übrigen auch nicht aus Erwägungsgrund 150 zur DSGVO; dieser ist insgesamt und in seinem systematischen Kontext zu lesen. Er bezieht sich auf Artikel 83 DSGVO und konkret auf die dortigen Regelungen der Bußgeldhöhe, enthält aber keine Vorgaben zu den Voraussetzungen, unter denen Verstöße von natürlichen Personen eine bußgeldrechtliche Verantwortlichkeit von juristischer Person und Personenvereinigung auslösen.“

Das BMI geht von der Zulässigkeit des Verweises auf die §§ 30, 130 OWiG auch vor dem Hintergrund der Vorgaben des ErwG 150 DSGVO aus, da dieser (und auch Art. 83 DSGVO) gerade keine Regelungen zum Adressaten des Bußgeldes machen, sondern allein zur Berechnung bzw. zum finanziellen Rahmen.

DSGVO-Bußgeld ohne Sachverhaltsermittlung?

Posted on by

Heute hat die Niedersächsische Datenschutzbehörde bekannt gegeben, dass sie ein Bußgeld in Höhe von über 10 Mio Euro gegen die notebooksbilliger.de AG verhängt hat. Inhaltlich soll es um eine länger andauernde Videoüberwachung von Mitarbeitern gehen, die nach Ansicht der Behörde unzulässig erfolgte.

Das Unternehmen hat sich ebenfalls öffentlich zu dem Bußgeld geäußert und wird gegen den Bescheid vorgehen.

Ich möchte mich hier zu diesem konkreten Verfahren gar nicht äußern. Wir werden (sollte die LfD den Bescheid nicht aufheben) wohl sicher noch eine gerichtliche Entscheidung in dieser Sache erleben.

Auf welchen praxisrelevanten Aspekt ich hinweisen möchte, ist der Vorwurf von notebooksbilliger.de an die LfD, dass die Behörde nicht selbst vor Ort war und die Kamerasysteme in Augenschein genommen hat. Auf der Webseite des Unternehmens heißt es:

Zu keinem Zeitpunkt war das Videosystem darauf ausgerichtet, das Verhalten der Mitarbeiter oder deren Leistungen zu überwachen. Das von der Datenschutzbeauftragten suggerierte Klima der Furcht ist eine haltlose Unterstellung und gefährdet unseren Ruf.

Außerdem hat trotz mehrmaliger Einladung durch NBB kein Mitarbeiter der Behörde in den Lagern oder Versandzentren des Unternehmens mit Mitarbeitern gesprochen. Es wurde sich also weder ein Bild von den Kameras gemacht noch über Arbeitsprozesse und die Unternehmenskultur informiert“.

Untersuchungsgrundsatz nach VwVfG

Im Kern steht hier also der Vorwurf im Raum, dass die Aufsichtsbehörde ihre Pflicht zu Ermittlung des entscheidungserheblichen Sachverhalts (Untersuchungsgrundsatz, § 24 VwVfG) verletzt hat. Diese verwaltungsrechtliche Anforderung entstammt nicht dem Datenschutzrecht, aber ist selbstverständlich von den Datenschutzbehörden zu beachten. Daher ist dieser Aspekt (des möglicherweise anstehenden gerichtlichen Verfahrens) auch generell für Unternehmen von Bedeutung, wenn sie sich einer Untersuchung durch Datenschutzbehörden ausgesetzt sehen.

Es wird davon ausgegangen, dass die Ermittlung des entscheidungserheblichen Sachverhalts eine originäre Pflicht der zuständigen Behörde ist. Hierzu kann sie sich auch der Hilfe Dritter bedienen.

Speziell datenschutzrechtlich sieht die DSGVO eine Befugnis der Datenschutzbehörden vor, die mit der Pflicht zur Sachverhaltsermittlung korreliert. Nach Art. 58 Abs. 1 lit. f DSGVO ist die Datenschutzbehörde etwa befugt, nach dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. Diese Befugnis dient gerade dazu, eine Prüfung der Einhaltung der DSGVO vornehmen zu können.

Folge bei unterbliebener Ermittlung

Der Vorwurf des Unternehmens lautet hier, dass die Behörde nicht vor Ort war, um die Kameraanlage zu prüfen. Nun könnte man evtl. argumentieren, dass eine Inaugenscheinnahme nicht zwingend erforderlich ist, wenn man stattdessen Kamerapläne und weitere Beschreibungen oder Fotos erhält. Gerade bei dem Einsatz von Kameras erscheint meines Erachtens aber der persönliche Eindruck vor Ort durchaus von Relevanz zu sein. Nicht umsonst gibt es ja viele Urteile, die allein die Wirkung von Kameraattrappen ausreichen lassen, um eine Verletzung von Persönlichkeitsrechten anzunehmen.

Geht man davon aus, dass die Behörde den Untersuchungsgrundsatz aus § 24 VwVfG verletzt hat, muss man auf der Rechtsfolgenseite trennen.

Per se ist die mangelhafte Sachverhaltsermittlung nicht selbstständig anfechtbar, sondern nur bei einem Vorgehen gegen die Sachentscheidung (§ 44a VwGO).

Bei fehlender oder mangelhafter Aufklärung des Sachverhalts liegt ein Verfahrensfehler in Bezug auf den jeweiligen Verwaltungsakt vor, der aber „nur“ zu einer formellen Rechtswidrigkeit führt. Eine Aufhebung kommt dann nur unter den gesteigerten Voraussetzungen des § 46 VwVfG in Betracht.

Aber, und dies ist für die materielle Rechtmäßigkeit der Entscheidung relevant: wenn der Sachverhalt mangelhaft ermittelt ist, kann sich dies bei einer Ermessensentscheidung auf die materielle Rechtmäßigkeit des Verwaltungsaktes auswirken. Aber: ein Ermessensfehler liegt grunsätzlich erst dann vor, wenn die Behörde tatsächlich vorhandene entscheidungserhebliche Gesichtspunkte außer acht gelassen oder falsch gewichtet hat.

Eine Entscheidung aus dem Datenschutzrecht (wenn auch noch zum BDSF aF) gibt es zu diesem Thema etwa vom VG Gelsenkirchen (Beschl. v. 14.10.2013 – 17 L 304/13). Dort wurde (im Eilverfahren) gegen einen Bescheid der Datenschutzbehörde NRW vorgegangen. Aus der Begründung des Gerichts:

Es ist anerkannt, dass die rechtsfehlerfreie Ermessensausübung als Grundlage einer Entscheidung die zutreffende und vollständige Sachverhaltsermittlung voraussetzt. Denn die Verwaltung kann ihren Entscheidungsfreiraum nur sachgerecht nutzen, wenn sie den wesentlichen Sachverhalt kennt“.

Und weiter:
Ermessensfehlerhaft sind daher Entscheidungen, wenn die Behörde von unzutreffenden tatsächlichen Voraussetzungen oder einer unvollständigen Sachverhaltsvorstellung ausgeht“.

In diesem Verfahren gab das Gericht dem Antragsteller recht und erkannte den Bescheid der Datenschutzbehörde bei summarischer Prüfung als materiell rechtswidrig an. Wegen Verstoßes gegen § 24 VwVfG und dessen Auswirkung auf die Ermessenentscheidung der Behörde.

Gemessen hieran begründen bereits die vorstehend angeführten Unklarheiten hinsichtlich des rechtlich relevanten Sachverhalts die Ermessensfehlerhaftigkeit des angefochtenen Bescheides“.

Auch die Verhängung eines Bußgeldes nach Art. 59 Abs. 2 lit. i, 83 DSGVO steht im Ermessen der Datenschutzbehörde (vgl. etwa VG Ansbach, Urt. v. 16.3.2020 – AN 14 K 19.00464).

Fazit

Sollte sich in einem gerichtlichen Verfahren wirklich herausstellen, dass hier der Untersuchungsgrundsatz nicht beachtet wurde, bestehen also durchaus Chancen dafür, dass der Bescheid der Behörde wegen Ermessensfehlerhaftigkeit aufgehoben wird. Unternehmen sollten diesen, zunächst evtl. rein förmlich anmutenden Aspekt, daher stets im Rahmen von behördlichen Verfahren beachten.  

Neue Rechtslage: Berliner Datenschutzbehörde erhält Zuständigkeit für Bußgelder nach dem TMG

Posted on by

Im Juni diesen Jahres hatte ich im Blog darauf hingewiesen, dass in einigen Bundesländern die Zuständigkeit für die Verhängung von Bußgeldern wegen Verstößen gegen die datenschutzrechtlichen Vorgaben des TMG (insbesondere §§ 13, 14, 15 TMG) gar nicht bei den Datenschutzbehörden liegt. In Berlin waren etwa die jeweiligen Bezirksämter zuständig.

Änderung der Rechtslage

Nun hat der Landesgesetzgeber in Berlin genau diese Situation adressiert und auch geändert. Ab sofort, genauer gesagt ab heute, ist für die Verhängung von Bußgeldern nach § 16 Abs. 2 Nr. 2 bis 5 TMG nicht mehr das jeweilige Bezirksamt, sondern die Landesbeauftragte für Datenschutz zuständig.

Die Anpassung erfolgt im Rahmen der „Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben“, die gestern im Berliner Gesetzes- und Verordnungsblatt veröffentlicht wurde (PDF).

Es erfolgt eine Änderung in § 1 der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten (ZustVO-OWiG). Die veränderte Verordnung tritt heute in Kraft (vgl. Art. 3 Verordnung zur Änderung der Verordnung über sachliche Zuständigkeiten für die Verfolgung und Ahndung von Ordnungswidrigkeiten und der Verordnung über die Zuständigkeit für einzelne Bezirksaufgaben).

Der neue § 1 Nr. 16 ZustVO-OWiG lautet wie folgt:

Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten sind für die Fälle, in denen die zuständige Verwaltungsbehörde nicht durch Gesetz bestimmt ist, die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit für Ordnungswidrigkeiten nach § 16 Absatz 2 Nummer 2 bis 5 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 11 des Gesetzes vom 11. Juli 2019 (BGBl. I S. 1066) geändert worden ist, in der jeweils geltenden Fassung.

Auswirkung

Eine direkte Auswirkung dieser Anpassung ist, dass nun die Berliner Datenschutzbehörde für die Verhängung von Bußgeldern in den benannten Fällen des § 16 Abs. 2 TMG zuständig ist. Dies sollten Unternehmen in Berlin beachten, wenn sie etwa im Rahmen einer internen Risikoprüfung des Trackings auf Webseiten oder Apps über Rechtsfolgen nachdenken.

Hinweise

Weiterhin bisher nicht angepasst wurde aber § 16 Abs. 2 TMG selbst; konkret Nr. 5. Als Bußgeldtatbestand wurde dort „nur“ eine Verletzung von § 15 Abs. 3 S. 3 TMG aufgeführt, nicht jedoch ein Verstoß gegen die übrigen Sätze des § 15 Abs. 3 TMG, in denen es um die Erstellung von Profilen und den Einsatz von Cookies geht. Zudem gilt auch weiterhin die Obergrenze für Bußgelder von 50.000 EUR nach § 16 Abs. 3 TMG. Dies aber natürlich nur, soweit man sich nicht im Anwendungsbereich der DSGVO befindet.

Man wird nun abwarten müssen, ob die Berliner Aufsichtsbehörde von ihrer neu geschaffenen Zuständigkeit Gebrauch macht.

Wann und warum verhängten Datenschutzbehörden Bußgelder – ein kleiner Überblick

Posted on by

Im Rahmen der Evaluierung der DSGVO nach Art. 97 DSGVO, haben auch die europäischen Datenschutzbehörden Antworten auf verschiedenste Fragen zur Anwendung und praktischen Umsetzung der DSGVO-Vorgaben gegeben. Die Liste aller Antworten ist hier abrufbar.

Die gesammelten Antworten (pdf) der deutschen Datenschutzbehörden sind meines Erachtens durchaus lesenswert. Die zum Teil angegeben Zahlen (zB zu Beschwerden) scheinen meines Erachtens den Stand ca. Ende 2019 abzubilden. Insgesamt gab es seit Mai 2018 danach 66.965 Beschwerden bei den Datenschutzbehörden.

Ganz interessant finde ich die Antworten zu Bußgeldern (S. 17). In dem Fragebogen wird angegeben, dass 208 Bußgelder unter Anwendung der DSGVO verhängt wurden (wie gesagt, wird nicht klar, bis zu welchem Datum die Zahlen erhoben wurden). Zudem informieren die deutschen Behörden auch darüber, in welchen Fällen (also für welche Art von Verstößen) Sanktionen verhängt wurden. Hier eine Auswahl:

  • Nichtbenennung eines Datenschutzbeauftragten
  • Unzureichende Authentifizierungsmaßnahmen in Callcentern
  • Bußgeld gegen einen Polizeibeamten, der seinen Zugang zu arbeitsbezogenen Datenbanken nutzte, um an die persönlichen Daten einer Frau, einschließlich ihrer Telefonnummern, zu gelangen, und sie dann aus privaten Gründen kontaktierte
  • Geldstrafe gegen ein Unternehmen, das keinen schriftlichen Vertrag mit dem Auftragsverarbeiter hatte (Artikel 28 (9) GDPR) und die Rechte der betroffenen Personen durch die Verwendung einer intransparenten und unklaren Sprache verletzt hat (Artikel 12 (1) GDPR),
  • verspätete Benachrichtigung über eine Datenverletzung und keine Information der betroffenen Personen
  • Direktmarketing trotz Widerspruch
  • verspätete Benachrichtigung gemäss Artikel 33 GDPR
  • unbefugtes Abrufen von Daten durch Mitarbeiter
  • Videoüberwachung an Verkaufsstellen
  • Videoüberwachung von Angestellten
  • Offenlegung von Anwalt/Mandanten-Beziehungen gegenüber einer dritten Partei
  • rechtswidrige Sammlung persönlicher Daten über Dashcam
  • unrechtmäßige Übermittlung personenbezogener Daten ohne angemessene Sicherheitsmaßnahmen
  • keine oder unzureichende Informationen an die Aufsichtsbehörde
  • Entsorgung personenbezogener Daten ohne notwendige Sicherheitsvorkehrungen
  • unrechtmäßige Offenlegung persönlicher Daten in sozialen Medien
  • Videoüberwachung von Mitarbeitern und Kunden
  • im öffentlichen Gesundheitssektor wegen Vermischung von Patientendaten und nicht ausreichender TOM
  • unzulässige Videoüberwachung
  • Versand von Werbe-E-Mails
  • E-Mail-Zustellung
  • Verletzungen von Zugangsrechten
  • mangelnde Kooperation
  • verdeckte Videoüberwachung
  • unbeantwortete Anfrage nach Informationen
  • Versäumnis, der Aufsichtsbehörde Zugang zu den Räumlichkeiten des Kontrolleurs zu gewähren.

Diese Information ist mE vor allem deshalb relevant, da man als Berater bzw. Unternehmen so auch einen guten Überblick darüber bekommt, welche Verarbeitungsbereiche oder Prozesse besondere Risiken bergen.

Zudem erläutern die Datenschutzbehörden auf Basis ihres Bußgeldkonzepts, welche Faktoren erhöhend oder mindernd auf das potenzielle Bußgeld wirken (S. 19).

Erhöhend:

  • (sehr) lange Dauer
  • Art, Umfang oder Zweck der Verarbeitung sind datenschutzrechtlich zu missbilligen/kritisch
  • (sehr) viele betroffene Personen
  • (sehr) schwer erlittener Schaden
  • notwendige Maßnahmen nicht eingeleitet
  • keine / schlechte Zusammenarbeit im Verwaltungsverfahren
  • vom Beschwerdeführer gemeldetes Vergehen / Hinweis / Presse
  • wirtschaftliche Situation (z.B. sehr hohe Umsatzrentabilität)

Mindernd:

  • (sehr) kurze Dauer
  • (sehr) wenige betrafen betroffene Personen
  • (sehr) wenig / kein Schaden erlitten
  • Maßnahmen haben Schäden ausgeschlossen
  • Zusammenarbeit übertraf deutlich das erwartete Niveau
  • Der Kontrolleur meldete das Vergehen von sich aus
  • wirtschaftliche Situation (z.B. drohende Insolvenz)
  • Schuldeingeständnis

Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?

Posted on by

Über das Urteil des BGH in der Sache „Cookie-Einwilligung II“ (zuvor am EuGH als „Planet49“) aus der letzten Woche (Urteil vom 28.5.2020, Az. I ZR 7/16) wurde bereits viel geschrieben, auch wenn bisher nur die Pressemitteilung veröffentlicht ist. Wir warten noch gespannt auf die Urteilsgründe und insbesondere die Unterfütterung der Ansicht, dass die fehlende Einwilligung nach Art. 5 Abs. 3 ePrivacy-Richtlinie in § 15 Abs. 3 TMG als per default existierender Widerspruch angesehen wird. Also „Schweigen = Nein“.

A. Vorrang des § 15 Abs. 3 S. 1 TMG gegenüber der DSGVO

In diesem Beitrag möchte ich mich mit einer praxisrelevanten Folgefrage auseinandersetzen, die sich aus der Begründung des BGH ergibt. Das Gericht geht davon aus, dass in § 15 Abs. 3 S. 1 TMG die Vorgaben des Art. 5 Abs. 3. S. 1 ePrivacy-Richtlinie umgesetzt sind („§ 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung“). Dies bedeutet im Verhältnis zur DSGVO, dass nach Art. 95 DSGVO der § 15 Abs. 3 S. 1 TMG als nationale Umsetzung der ePrivacy-Richtlinie in der Form einer lex specialis der DSGVO vorgeht (ausführlich zu dem Verhältnis von DSGVO und der ePrivacy-Richtlinie, EDSA Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO; zum Vorrang der ePrivacy-Richtlinie insbesondere ab Rz. 38, pdf). Dies gilt zumindest soweit, wie der Anwendungsbereich Art. 5 Abs. 3 ePrivacy-Richtlinie und seiner Umsetzung reicht; also die Speicherung von Informationen und der Zugriff auf bereits gespeicherte Informationen im Endgerät eines Nutzers. Bespiele: das Setzen eines Cookies (= Speicherung von Informationen) oder Auslesen aus einem Cookie oder dem Storage (= Zugriff auf gespeicherte Informationen).

B. Aufsichtsbehördliche Zuständigkeit

Und nun zu der besonderen Praxisrelevanz: möchte eine Datenschutzbehörde diese Tätigkeiten (also die Speicherung von Informationen oder den Zugriff auf gespeicherte Informationen) prüfen, untersagen oder gar ein Bußgeld verhängen, ist sie hierzu überhaupt befugt?

Die Antwort auf diese Frage muss man grundsätzlich je nach Mitgliedstaat und nationaler Umsetzung der ePrivacy-Richtlinie beantworten. Und ich möchte gleich vorwegschicken, dass die Beantwortung nicht einfach ist.

Per se gilt: die ePrivacy-Richtlinie gewährt den Mitgliedstaaten die Möglichkeit, eine oder mehrere Stellen mit der Durchsetzung zu beauftragen. Und dies müssen gerade nicht die Datenschutzbehörden nach der DSGVO sein. Der EDSA in der oben genannten Stellungnahme hierzu (Rz. 64):

Die e-Datenschutz-Richtlinie belässt den Mitgliedstaaten die Flexibilität, darüber zu entscheiden, welcher Behörde oder Stelle sie ihre Durchsetzung anvertrauen wollen.

Das bedeutet, dass die Datenschutzbehörden für die Überwachung der Einhaltung der Vorgaben der ePrivacy-Richtlinie und im Speziellen auch die Ahndung von Verstößen durch Bußgelder nur zuständig sind, wenn dies national gesetzlich so vorgesehen und ihnen diese Aufgabe übertragen ist. Gerade für die Verhängung von Bußgeldern spielen die nationalen Regelungen eine wichtige Rolle. Für eine dem Zugriff auf Informationen oder der Speicherung von Informationen nachfolgende Verarbeitung personenbezogener Daten sind die Datenschutzbehörden dann aber zuständig, da die DSGVO unmittelbar greift.

Und nun kommen wir zu der Situation in Deutschland. Vorab eine Übersicht meiner aktuellen Einschätzung (allein bezogen auf den Datenschutz im Bereich des deutschen TMG, also konkret § 15 Abs. 3 S. 1 TMG).

Aufsichtsbehördliche Maßnahmen Verhängung Bußgelder
DSGVO Datenschutzbehörden (Art. 58 Abs. 1 und 2 DSGVO) Datenschutzbehörden (Art. 58 Abs. 2 lit. i), Art. 83 DSGVO)
ePrivacy-Richtlinie / TMG Datenschutzbehörden (§ 59 Abs. 1 S. 1 RStV) Es ist kompliziert…

C. Datenschutzaufsicht

Nach § 59 Abs. 1 S. 1 des noch geltenden Rundfunkstaatsvertrages (RStV, pdf) überwachen die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57 RStV. (Hinweis: in Zukunft wird der RStV durch den Medienstaatsvertrag (MStV, pdf) ersetzt).

Nach § 1 Abs. 1 Hs. 2 RStV gelten für Telemedien der IV. bis VI. Abschnitt sowie § 20 Abs. 2 RStV; jedoch ganz allgemein, unabhängig davon, ob es sich um Rundfunk handelt. Daneben gelten die Vorgaben des TMG.

Dies bedeutet wohl, dass den Datenschutzbehörden die „Aufsicht“ in der Form der Überwachung der Einhaltung der Datenschutzbestimmungen für Telemedien zugewiesen ist. Jedoch enthält § 59 RStV keine Regelung zur Zuständigkeit für die Verhängung von Bußgeldern bei Verstößen gegen das TMG (dies könnte daran liegen, dass das TMG Bundesrecht ist und die Länder hier keine Regelungskompetenz für Bußgeldtatbestände haben).

Diese Ansicht wird auch durch die oben zitierte Stellungnahme des EDSA gestützt, welche klarstellt, dass sich die Datenschutzbehörde nicht automatisch auf die in der DSGVO vorgesehenen Aufgaben und Befugnisse stützen kann, um die nationalen Vorschriften zur Umsetzung der ePrivacy-Richtlinie durchzusetzen, da diese Aufgaben und Befugnisse aus der DSGVO an deren Durchsetzung gebunden sind (EDSA, Stellungnahme 5/2019, Rz. 65 ff.).

D. Vollzugszuständigkeit (Bußgelder)

I. Bußgeldregelung im TMG

Zunächst eine simple Feststellung: Verstöße gegen § 15 Abs. 3 S. 1 TMG sind nach § 16 TMG nicht ausdrücklich bußgeldbewehrt. Nur Verstöße gegen § 15 Abs. 1 S. 1 TMG und gegen § 15 Abs. 3 S. 3 TMG (bei Zusammenführung der Daten des Betroffenen mit dem Pseudonym) sind in dem Katalog des § 16 Abs. 2 TMG aufgeführt. Es wird in der Literatur aber diskutiert, ob nicht die Erstellung eines Nutzungsprofils gegen den Widerspruch (also nach BGH: ohne Einwilligung) des Nutzers eine unzulässige Datenerhebung bzw. -verwendung iSd § 15 Abs. 1 S. 1 darstellt, die dann vom Bußgeldtatbestand des § 16 Abs. 2 Nr. 4 TMG erfasst wird (so Bornemann, in: BeckOK Informations- und Medienrecht, 27. Edition, § 16 TMG, Rn. 16). Ob ein solcher Rückschluss mit dem im Rahmen der Verhängung von Bußgeldern zu beachtenden Bestimmtheitsgebot von Normen vereinbar ist, kann man aber meines Erachtens diskutieren. Nach dem in Art. 20 Abs. 3 GG verankerten Bestimmtheitsgebot muss staatliches Handeln (insbesondere in der Form von Sanktionen) für die Rechtsunterworfenen berechenbar sein.

II. Ergänzende Bußgeldregelungen im RStV

Selbst, wenn man von dem Verweis in § 59 Abs. 1 S. 1 RStV auch die Zuständigkeit zur Verhängung von Bußgeldern umfasst sehen möchte (was meines Erachtens nicht möglich ist), so müsste eine entsprechende landesrechtliche Zuständigkeitsregelung in den Bundesländern den Datenschutzbehörden diese auch konkret zuordnen (Stichwort: Bestimmtheitsgebot).

Denn: § 16 TMG enthält zwar Bußgeldtatbestände für Verstöße gegen bestimmte Normen des TMG. Das TMG selbst enthält aber keine Regelungen über die für die Verhängung der Bußgelder zuständige Verwaltungsbehörde. Das bedeutet, es gelten die allgemeinen Vorschriften des OWiG (umfassend hierzu schon im Jahr 2011 der Wissenschaftliche Dienst des Deutschen Bundestages, pdf). Nach § 36 Abs. 1 OWiG ist für die Verfolgung von Ordnungswidrigkeiten die Behörde sachlich zuständig, die durch Gesetz bestimmt wird bzw., wenn eine solche Bestimmung nicht vorliegt, die fachlich zuständige oberste Landesbehörde oder das fachlich zuständige Bundesministerium, soweit das Gesetz von Bundesbehörden ausgeführt wird.

Das bedeutet, dass wir nach entsprechenden landesrechtlichen Zuständigkeitsregelungen suchen müssen, die die Ahndung von Verstößen im Sinne der § 16 TMG einer Behörde zuweisen.

In jedem Fall gilt: Bußgelder auf Grundlage des § 16 TMG können maximal 50.000 EUR betragen (§ 16 Abs. 3 TMG). Damit also auch Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG (wie gesagt, wenn man dies überhaupt als möglich erachtet).

III. Zuständigkeitsregelungen für die Verhängung von Bußgeldern nach dem TMG

Spannend ist nun die Frage, welche Behörde für die Verhängung eines solchen Bußgeldes zuständig ist. Zumeist erfolgt diese Zuweisung, so sie ausdrücklich getroffen wurde, für Verstöße gegen § 16 Abs. 2 Nr. 2 – 5 TMG. Nachfolgend haben mein Kollege Johannes Zwerschke und ich uns an einer Übersicht versucht.

Eins noch vorab. Einige Länder haben in ihren Datenschutzgesetzen nur sehr allgemein die Zuständigkeit der Datenschutzbehörde auch für andere Datenschutzgesetze geregelt. Z. B. heißt es in § 6 Abs. 1 S. 2 ThürDSG: „Dabei kontrolliert er die Einhaltung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer datenschutzrechtlicher Bestimmungen.“. Da es sich auch nach Ansicht des BGH bei § 15 Abs. 3 S. 1 TMG um eine datenschutzrechtliche Bestimmung handelt, ist es denkbar, dass der Datenschutzaufsichtsbehörde (z. B. im Fall von Thüringen) daher auch die Zuständigkeit zur Verhängung von Bußgeldern hinsichtlich des TMG obliegt. Allerdings könnte man insoweit ganz auf der Linie des Wissenschaftlichen Dienstes des Bundestags die fehlende Bestimmtheit der jeweiligen Regelung und daher die Unzuständigkeit der betreffenden Behörde für die Verhängung von Bußgeldern nach dem TMG monieren.

Die betreffenden Fälle wurden mit „*)“ markiert.

Bundesland

Behörde

Norm / Begründung
Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI). § 2 Nr. 2 Telemedienzuständigkeitsgesetz (TMZ-Gesetz).
Bayern Bayerisches Landesamt für Datenschutzaufsicht (BayLDA – für den privaten Bereich). § 96 Zuständigkeitsverordnung(ZustV).
Sachsen Sächsische Datenschutzbeauftragte. § 15 Nr. 2 Ordnungswidrigkeiten-Zuständigkeitsverordnung.
Baden-Württemberg Regierungspräsidium Karlsruhe. § 4 Abs. 2 Nr. 4 Verordnung der Landesregierung überZuständigkeiten nach dem Gesetz über Ordnungswidrigkeiten

(OWiZuVO).
Niedersachsen Landesbeauftragte für den Datenschutz Niedersachsen. *) §§ 19 Abs. 1, 20 Abs. 1 NDSG (wenn man von dem Verweis auf „andere datenschutzrechtliche Bestimmungen“ auch § 15 Abs. 3 S. 1 TMG bzw. die Bußgeldnorm des § 16 Abs. 2 TMG umfasst sieht); evtl. auch § 1 Abs. 4 ZustVO-OWi (als Behörde, die die Einhaltung der Vorschriften zu überwachen hat (danke an Dr. Tobias Born für den Hinweis); (§ 2 Nr. 1 lit. d) ZustVO-OWi ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Schleswig-Holstein Für Schleswig-Holstein haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG (§ 38 Abs. 6 Gesetz zum Staatsvertrag über das Medienrecht in Hamburg und Schleswig-Holstein ist nicht einschlägig, da sich diese nicht auf § 16 Abs. 2 Nr. 4 und 5 TMG erstreckt).
Hamburg Hamburgischer Beauftragterfür Datenschutz und Informationsfreiheit. IV Nr. 3 der Anordnung über Zuständigkeiten auf dem Gebiet des Rundfunkwesens und der Telemedien vom 25. März 1997.
Bremen Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen. § 63 Nr. 3 BremLMG.
Mecklenburg-Vorpommern Medienanstalt Mecklenburg-Vorpommern (MMV) (nach vorheriger Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit). § 67 Abs. 3 S. 1 und 6 RundfunkG M-V.
Brandenburg Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. *) § 18 Abs. 4, Abs. 1 S. 2 BbgDSG (vgl. Gesetzesbegründung zu § 18 Abs. 4 BbgDSG: „Absatz 4 bestimmt … gemäß § 36 Absatz 1 Ziffer 1 des Ordnungswidrigkeitengesetzes die Landesbeauftragte oder den Landesbeauftragten als zuständige Verwaltungs-behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten“ (Drs. 6/7365).
Berlin Jeweiliges Bezirksamt. § 1 Nr. 1 d) ZustVO-OWiG (entsprechend § 1 ZustVO-OWiG wird davon ausgegangen, dass für die Verhängung von Bußgeldern keine gesetzliche Zuständigkeitszuweisung an die Berliner Datenschutzbehörde besteht).
Sachsen-Anhalt Für Sachsen-Anhalt haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit. *) §§ 6 Abs. 1 S. 2, 61 Abs. 1 und 6 ThürDSG iVm § 8 Abs. 1 InMinZustV TH („Zuständige Verwaltungsbehörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten ist, soweit nichts anderes bestimmt ist, diejenige Behörde, der der Vollzug derjenigen Rechtsvorschriften obliegt, gegen die sich der Verstoß richtet“).
Hessen Hessische Beauftragte für Datenschutz und Informationsfreiheit. *) § 13 Abs. 1 HDSIG.
Rheinland-Pfalz Für Rheinland-Pfalz haben wir keine einschlägige, landesrechtliche Regelung gefunden. Mangels einer gesetzlichen Regelung ist daher die fachlich zuständige oberste Landesbehörde für das Ordnungswidrigkeitenverfahren zuständig. § 36 Abs. 1 Nr. 2 lit. a) OWiG.
Saarland Hier ist die Lage unklar. Es sind zwei mögliche Zuständigkeiten denkbar:1. Unabhängiges Datenschutzzentrum Saarland *)

oder

2. Ministerium für Inneres, Bauen und Sport.

 Zu 1. §§ 20 Abs. 5 S. 1; 16 Abs. 2; 3 Abs. 1 SarlDSG.(Problem: nebenstehende Regelung könnte aber möglicherweise unionsrechtswidrig sein, da sie Art. 95 DSGVO umgeht, der besagt, dass die ePrivacy-Richtlinie lex specialis ist)

Zu 2. § 36 Abs. 1 Nr. 2 lit. a) OWiG iVm § 3 LOG und 4.13 Geschäftsverteilungsplan der Regierung.

(wenn jemand noch Hinweise zu konkreten Zuständigkeitsregelungen hat, freue ich mich über eine E-Mail)

E. Fazit

Man sieht, dass die Frage der Zuständigkeit für die Ahndung von Verstößen gegen § 15 Abs. 3 S. 1 TMG nicht einfach zu beantworten ist. Und sicher wird auch das hier gefundene Ergebnis zur Diskussion einladen. Aktuell würde ich aber davon ausgehen, dass in Deutschland je nach Bundesland zu prüfen und zu unterscheiden ist, ob tatsächlich die jeweilige Landesdatenschutzbehörde befugt ist, Bußgelder wegen eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG zu verhängen. In einigen Bundesländern ist sie dies meines Erachtens nicht.

Diesen Blogbeitrag als PDF-Dokument herunterladen.

Gesetzentwurf zu DSGVO-Bußgeldverfahren – aktuelle Regelungen verfassungswidrig?

Posted on by

Sind Entscheidungen in Bußgeldverfahren über 100.000 EUR wegen Datenschutzverstößen verfassungsrechtlich angreifbar? Diese Ansicht scheint zumindest das Land Hessen in einem aktuellen Gesetzesentwurf im Bundesrat zu vertreten. Wenn dem so ist, wäre das natürlich ein ziemlicher „Knaller“.

Der Gesetzentwurf

Das Land Hessen hat im Bundesrat einen Gesetzentwurf eingebracht. Eventuell geht dieser Entwurf auch auf einen Beschluss der Justizministerkonferenz aus November 2018 zurück (pdf).

In dem „Entwurf eines Gesetzes zur Effektivierung des Bußgeldverfahrens“ (BR Drs 107/20, pdf, 2.3.2020) wird vorgeschlagen, § 41 Abs. 1 S. 3 BDSG zu streichen.

Artikel 2 des Entwurfs sieht vor: § 41 Absatz 1 Satz 3 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) wird aufgehoben.“

§ 41 Abs. 1 S. 3 BDSG bestimmt für das Bußgeldverfahren die Anwendung des § 68 OWiG mit der Maßgabe, dass das Landgericht entscheidet, wenn die festgesetzte Geldbuße den Betrag von einhunderttausend Euro überschreitet. Ungeachtet des Umstandes, dass die Amtsgerichte in anderen Rechtsgebieten befugt sind, Geldbußen in Millionenhöhe festzusetzen (§§ 30, 130 Abs. 3 OWiG),

sind bisher keine verfahrensrechtlichen Vorschriften zur Besetzung der Kammern der Landgerichte in Bußgeldsachen gegeben.

§ 41 Abs. 1 S. 3 BDSG verweist allein auf § 68 OWiG. In dem Entwurf wird als mögliche Neuregelung angedacht, ob man über §§ 46 Abs. 1, 71 Abs. 1 OWiG auf die Vorschriften der Strafprozessordnung und des Gerichtsverfassungsgesetzes Bezug nehmen könnte. Dann, so der Entwurf, müsste man wohl von einer Besetzung der Kammern der Landgerichte mit zwei Richtern und zwei Schöffen ausgehen. Es wird davon ausgegangen, dass dies nicht intendiert war.

Es zeigt sich, dass aktuell tatsächlich unklar und nicht gesetzlich vorgegeben ist, in welcher Besetzung das Landgericht in Bußgeldverfahren bei Datenschutzverstößen entscheidet.

Zwar sieht § 46 Abs. 7 OWiG derzeit vor, dass im gerichtlichen Verfahren beim Landgericht Kammern für Bußgeldsachen entscheiden. Jedoch fehlt es an einer Regelung im GVG und es stellt sich die Frage der Besetzung der Kammer.

Der Entwurf stellt die Folge dieser Situation sehr konkret dar:

Da bisher keine entsprechenden verfahrensrechtlichen Vorschriften existieren, dürfte dies wohl nicht nur bei der entsprechenden Geschäftsverteilung der Landgerichte im Hinblick auf die Fälle des § 41 Absatz 1 Satz 3 BDSG zu Problemen führen können, sondern es dürfte zusätzlich nahezu ausgeschlossen sein, das gerichtliche Verfahren ohne entsprechende Vorschriften ordnungsgemäß vollziehen zu können. (Hervorhebungen durch mich)

Diese Einschätzung hat meines Erachtens durchaus Sprengkraft, zu der ich gleich noch ausführe.

Der Gesetzesentwurf sieht daher die Streichung des § 41 Abs. 1 S. 3 BDSG vor. Hierdurch würde in sämtlichen Fällen von Bußgeldverfahren die Zuständigkeit der Amtsgerichte nach § 68 Abs. 1 OWiG begründet.

Angreifbarkeit landgerichtlicher Entscheidungen in Bußgeldverfahren?

Die soeben dargestellte Situation könnte für Unternehmen, die sich aktuell oder zukünftig (bis zu einer Anpassung) Bußgeldern über 100.000 EUR ausgesetzt sehen, einen möglichen Angriffspunkt gegen entsprechende Entscheidungen der Landgerichte bieten. Dann würde praktisch über all diesen gerichtlichen Verfahren gegen Bußgelder das Damoklesschwert der Verfassungswidrigkeit schweben.

Aufgrund der Einschätzung des Landes Hessen in dem Gesetzesentwurf, wird man meines Erachtens zumindest darüber diskutieren können, ob denn nicht eine Situation, in der es „nahezu ausgeschlossen“ ist, dass gerichtliche Verfahren ordnungsgemäß durchgeführt werden können, auch verfassungsrechtliche Probleme aufwirft.

Das Bundesverfassungsgericht (BVerfG) sieht etwa von der Garantie des gesetzlichen Richters (Art. 101 Abs. 1 S. 2 GG) den Bestand von Rechtssätzen umfasst, die für jeden Streitfall den Richter bezeichnen, der für die Entscheidung zuständig ist. Art. 101 Abs. 1 S. 2 GG verpflichtet auch dazu, Regelungen zu treffen, aus denen sich der gesetzliche Richter ergibt (vgl. etwa BVerfG, Beschl. v. 08.04.1997 – 1 PBvU 1/95). Andererseits ist eine sich aus der Sache ergebende und unvermeidbare Ungewissheit darüber, wer den Rechtsstreit entscheiden wird (insbesondere in Fällen des Ausscheidens, der Krankheit, der Verhinderung, des Urlaubs) hinzunehmen.

Gesetzlicher Richter im Sinne des Art. 101 Abs. 1 S. 2 GG ist nach der Rechtsprechung des BVerfG

nicht nur das Gericht als organisatorische Einheit oder das erkennende Gericht als Spruchkörper, sondern sind auch die zur Entscheidung im Einzelfall berufenen Richter.

(BVerfG, Beschl. v. 30.03.1965 – 2 BvR 341/60)

Daher müssen die Geschäftsverteilungspläne, die der Bestimmung des gesetzlichen Richters dienen,

von vornherein so eindeutig wie möglich festlegen, welche Spruchkörper und welche Richter zur Entscheidung des Einzelfalls berufen sind

(ebenda)

Übertragen auf die aktuelle Situation mit fehlenden Regelungen zur Besetzung der Spruchkörper, wird man sicher darüber nachdenken können, ob etwa Unternehmen, die sich gegen ein hohes Bußgeld zu Wehr setzen (man denke an die Fälle Delivery Hero, Deutsche Wohnen SE oder 1&1 Telecom GmbH), am Ende gegen eine entsprechende Entscheidung des erkennenden Gerichts bzw. eine ablehnende Entscheidung zu einer Besetzungsrüge nicht eine Verfassungsbeschwerde einlegen können.

Das Recht auf den gesetzlichen Richter steht natürlichen und juristischen Personen zu. Darauf kann sich berufen, wer nach den einschlägigen Prozessnormen parteifähig ist (BVerfG, Beschl. v. 26.02.1954 – 1 BvR 537/53).

Es wird davon ausgegangen, dass für die Verfassungsbeschwerde wegen Verletzung des Rechts auf den gesetzlichen Richter die üblichen Zulässigkeitsvoraussetzungen gelten. Also auch das Erfordernis der Rechtswegerschöpfung. Daher wäre es wohl erforderlich, Besetzungsrügen schon vor dem zuständigen Gericht zu erheben. Der Beschluss über ein Ablehnungsgesuch ist eine Zwischenentscheidung, die selbstständig mit der Verfassungsbeschwerde angegriffen werden kann (BVerfG, Beschl. v. 25.06.1968 – 2 BvR 599, 677/67).

Zudem muss, für den Erfolg der Verfassungsbeschwerde, die angegriffene Entscheidung auf einer Verletzung des Art. 101 Abs. 1 S. 2 GG beruhen. Dies könnte dann der Fall sein, wenn eine andere Besetzung des Gerichts ohne den Fehler nicht ausgeschlossen werden kann (BVerfG, Urt. v. 20.03.1956 – 1 BvR 479/55).

Daneben ist meines Erachtens auch über einen Verstoß der Bundesrepublik Deutschland gegen die Vorgabe des Art. 83 Abs. 8 DSGVO nachzudenken: „Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde … muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen“. Hier könnte das Erfordernis der „ordnungsgemäßen Verfahren“ nicht erfüllt sein.

Fazit

Ich würde mich sehr drüber freuen, wenn wir zu dieser juristisch wirklich spannenden Frage eine Entscheidung sehen. Ob es soweit kommt, wird aber an den Parteien der aktuell bei den Gerichten anhängigen Bußgeldverfahren liegen.