Das Kammergericht Berlin, speziell der 3. Senat für Bußgeldsachen, traf am 22. Januar 2024 eine Entscheidung (Aktenzeichen: 3 Ws 250/21, 161 AR 84/21), die weitreichende Auswirkungen auf Unternehmen in Bezug auf Datenschutzverstöße hat. Der Beschluss bezieht sich auf einen Bußgeldbescheid gegen ein Unternehmen durch die Berliner Beauftragte für den Datenschutz. Das Unternehmen wurde beschuldigt, zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich gegen Datenschutzbestimmungen verstoßen zu haben, indem es versäumte, erforderliche Maßnahmen zur regelmäßigen Löschung von Daten von Mietern durchzuführen und personenbezogene Daten ohne Berechtigung zu speichern. Die Geldbuße betrug insgesamt 14.385.000 Euro.
Das Landgericht Berlin stellte das Verfahren aufgrund von Mängeln im Bußgeldbescheid ein, da es die Auffassung vertrat, dass juristische Personen nicht direkt in Bußgeldverfahren einbezogen werden können. Die Staatsanwaltschaft legte dagegen sofortige Beschwerde ein, und der Fall wurde vor den Europäischen Gerichtshof (EuGH) gebracht. Der EuGH entschied in seinem Urteil vom 5. Dezember 2023 (C-807/21), dass Geldbußen gemäß der Datenschutz-Grundverordnung (DSGVO) direkt gegen juristische Personen verhängt werden können, wenn diese für die Verarbeitung von Daten verantwortlich sind.
Das Kammergericht Berlin hob daraufhin den Beschluss des Landgerichts auf und wies die Sache zur erneuten Entscheidung zurück. Es betonte, dass eine Verbandshaftung nicht das Verschulden eines Repräsentanten erfordert und dass Unternehmen im Rahmen der DSGVO per se schuldfähig sind. Der Bußgeldbescheid erfüllte die Anforderungen des Verfahrensrechts, indem er die Tat konkret benannte und den Beschuldigten ausreichend informierte.
Fazit und Auswirkungen auf Unternehmen:
Dieses Urteil verdeutlicht die direkte Haftung von Unternehmen für Datenschutzverstöße gemäß der DSGVO. Unternehmen müssen sicherstellen, dass sie die Datenschutzbestimmungen einhalten, da Verstöße nun mit erheblichen Geldbußen geahndet werden können. Es unterstreicht die Notwendigkeit einer effektiven Datenschutzstrategie und -implementierung in Unternehmen, um rechtliche Konsequenzen zu vermeiden.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530