externer-datenschutzbeauftragter

Wer muss bei Datenschutzverstößen zahlen? Klarheit durch EuGH-Urteil erwartet

Grundsätzlich können Verstöße gegen die Datenschutzgrundverordnung gemäß den Vorgaben aus Art. 83 Abs. 4, 5 und 6 DSGVO mit einem Bußgeld geahndet werden. Die deutschen Gerichte beschäftigt nach wie vor die Frage, ob ein Unternehmen als Verantwortlicher unmittelbar und ohne weitere Nachweise unmittelbar haftet oder nicht doch ein (schuldhafter) Verstoß eines leitenden Beschäftigten nachgewiesen werden muss.

Worum dreht sich der Streit?

Im Kern dreht sich der Streit um die Frage, ob bei der Verhängung von Bußgeldern das Funktions- oder das Rechtsträgerprinzip Anwendung findet. Bei Anwendung des Funktionsprinzips kann ein Bußgeld gegen ein Unternehmen bereits dann verhängt werden, wenn ein objektiver Verstoß eines Beschäftigten des Unternehmens vorliegt. Fordert man dagegen die Anwendung des Rechtsträgerprinzips, so könnte ein Bußgeld gegen ein Unternehmen nur dann verhängt werden, wenn nachgewiesen werden kann, dass eine Leitungsperson in Wahrnehmung ihrer Aufgabe einen schuldhaften Verstoß begangen oder ihre Aufsichtspflichten verletzt hat.

Diese Frage wird in naher Zukunft durch den Europäischen Gerichtshof (EuGH) beantwortet werden, da das Kammergericht Berlin (begrüßenswerterweise) im Wege des Vorabentscheidungsersuchens dem EuGH diese nicht ganz unwesentliche Rechtsfrage vorgelegt hat.

Datenschutzkonferenz hat sich bereits positioniert

Die Deutsche Datenschutzkonferenz (kurz DSK), der Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, hat sich in der Frage bereits positioniert und eine Pressemitteilung veröffentlicht.

Wenig überraschend hält die DSK das Funktionsträgerprinzip für anwendbar und lehnt die Anwendung des Rechtsträgerprinzips ab.

Die DSK begründet ihre Ansicht mit dem Adressatenkreis von Bußgeldern, der sich unmittelbar aus der DSGVO ergäbe und direkt auf Unternehmen abziele. Weiter führt die DSK an, dass sich aus Satz 3 des Erwägungsgrunds 150 eindeutig ergebe, dass hier das Funktionsträgerprinzip Anwendung finden müsse. Dieser sei von den Gerichten zwingend bei der Auslegung der Bußgeldvorschriften der DSGVO zu berücksichtigen.

Wann ist mit einem Urteil zu rechnen und welche Folgen hat dies für Unternehmen?

Das Gutachten des Generalanwalts, das für Ende April angekündigt wurde, wird einen ersten Hinweis liefern, wie der EuGH entscheiden könnte. In der Regel entscheidet der EuGH zeitnah nach Veröffentlichung des Gutachtens. Ein Termin zur Entscheidungsverkündung wurde jedoch noch nicht bekannt gegeben. Insofern darf die weitere Entwicklung mit Spannung erwartet werden.

Die Entscheidung des EuGH wird weitreichende Folgen für die Verhängung von Bußgeldern haben. Folgt der EuGH der Auffassung der Datenschutzkonferenz, so können wesentlich leichter Bußgelder verhängt werden. Entscheidet sich der EuGH für die Anwendung des Rechtsträgerprinzips, so müssten die Datenschutzbehörden vor Verhängung eines Bußgeldes einen Verstoß einer Leitungsperson feststellen und nachweisen. Dies stellt in der Praxis erheblich höhere Anforderungen an den Bußgeldbescheid dar als bei Anwendung des Funktionsträgerprinzips, da hier der konkrete Nachweis nicht weiter erbracht werden muss.

Am besten ist es jedoch ohnehin, es erst gar nicht zu Verstößen kommen zu lassen. Unser Datenschutz-Team berät Sie gerne und findet für Sie passgenaue und datenschutzkonforme Lösungen.

Sollte „das Kind schon in den Brunnen gefallen sein“ unterstützen wir Sie nicht minder gerne bei der Abwehr der von den Behörden gestellten Forderung.

Autor: Fabian Dechent (Rechtsanwalt)

Datenhehlerei: Bundesregierung begrüßt Strafgesetzentwurf

Die Bundesregierung reagiert positiv auf den Gesetzesvorstoß, Datenhehlerei als eigene Straftat zu normieren. Datenhehlerei könnte damit bald strafbar sein.

Datenhehlerei soll eigene Straftat werden

Die Bundesregierung hat in einer Stellungnahme den Gesetzesentwurf des Bundesrates (BR-Ds. 284/13), zur Aufnahme des Straftatbestandes der Datenhehlerei in das Strafgesetzbuch, begrüßt. Damit ist es immer wahrscheinlicher, dass Datenhehlerei künftig unter Strafe gestellt wird.

Rechtslücke soll geschlossen werden – bis zu fünf Jahre haft vorgesehen

Ziel dieses Gesetzes soll es sein, eine Strafbarkeitslücke im deutschen Rechtssystem zu schließen. Zu diesem Zwecke hat der Bundesrat den genannten Entwurf in den Bundestag eingebracht (Newsletter 5/2014). Vorgesehen ist darin die Schaffung des Straftatbestandes der Datenhehlerei (§ 202d StGB-E), der eine Freiheitsstrafe von bis zu fünf Jahren vorsieht. Von diesem Gesetz geschützte Daten sollen solche sein, die aus nicht allgemein zugänglichen Quellen stammen oder gegen deren Weiterverwendung schutzwürdige Interessen sprechen. Das Strafmaß der schon bestehenden §§ 202a StGB (Ausspähen von Daten) und 202b StGB (Abfangen von Daten) soll erhöht werden, sollte der Täter in Schädigungs- oder Bereicherungsabsicht handeln oder dies gewerbs- bzw. bandenmäßig tun. Dem entsprechend sollen für Strafverfolgungsbehörden auch die Möglichkeiten der akustischen Wohnraumüberwachung und der Überwachung der Telekommunikation in diesen Fällen ausgeweitet werden.

Zudem kündigte die Bundesregierung an, ebenfalls einen eigenen Gesetzesentwurf zur Reformierung und Anpassung des deutschen Strafrechts an das digitale Zeitalter einzubringen. Die Verabschiedung des Gesetzesentwurfs im deutschen Bundestag dürfte wahrscheinlich sein.

Handel mit gestohlenen Daten soll Straftat werden

Der Handel mit gestohlenen Daten soll als neuer Straftatbestand „Datenhehlerei“ in das Strafgesetzbuch aufgenommen werden.

Diebstahl von Daten bereits strafbar, Handel jedoch nicht

Einer entsprechenden Forderung, basierend auf einer hessischen Gesetzesinitiative, stimmte der Bundesrat am 14.3.2014 zu (BR-Drs. 70/14). Der Antrag wurde vom Bundesrat bereits 2013 in den Bundestag eingebracht. Aufgrund des Endes der Wahlperiode verfiel dieser aber. Nach der aktuellen Rechtslage kann derjenige strafrechtlich belangt werden, der Daten stiehlt bzw. gestohlene Daten nutzt, nicht jedoch wer mit gestohlenen Daten handelt und diese veräußert.

Handel mit gestohlenen Daten ist ein Millionengeschäft

Der Bundesrat erhofft sich so die Schließung einer Strafbarkeitslücke, nicht zuletzt in Anbetracht eines millionenschweren Schwarzmarktes für u.a. gestohlene Konto- und Kreditkarteninfos, Kunden- und Emailkonten sowie Unternehmensdaten. Für Unternehmen würde die Annahme der Gesetzesinitiative vor allem eine neue Möglichkeit eröffnen, dem Handel mit gestohlenen Daten im eigenen Unternehmen zu begegnen. Denn mit dem Schließen der Strafbarkeitslücke können sich Unternehmen direkt an die Strafverfolgungsbehörden wenden und Anzeige, notfalls gegen Unbekannt, erstatten und damit eine sichere Verwertung der Beweise ermöglichen.

Unberührt lässt die Gesetzesinitiative natürlich die schon bestehenden Meldepflichten gegenüber den Behörden und Betroffenen aus § 42a BDSG soweit es sich um personenbezogene Daten handelt. Erlangt ein Unternehmen Kenntnis von bspw. Datenhehlerei im eigenen Verantwortungsbereich, muss die Aufsichtsbehörde unter den Voraussetzungen den § 42a BDSG darüber informiert werden.