Dossier

Die neuen Datenschutz-Regeln betreffen nahezu jedes unternehmerische Handeln und sollten – nicht zuletzt vor dem Hintergrund der beträchtlichen Sanktionen – möglichst penibel beachtet werden. Der Umsetzungsprozess ist oftmals sehr zeitaufwändig; erforderliche Schritte sollten bereits veranlasst worden sein. Wer weiterhin verabsäumt, längst überfällige Compliance Maßnahmen zu implementieren, muss
neben hohen Bußgeldern auch mit gravierenden Wettbewerbsnachteilen rechnen.

Kommt es zu einer Überprüfung durch die Datenschutzbehörde, sollte das betroffene Unternehmen nachweisen können, sich intensiv mit dem Schutz der verarbeiteten Daten auseinandergesetzt und möglichst effektive Schritte zur Umsetzung der Vorgaben gesetzt zu haben.

Eine Entscheidung des deutschen Bundesgerichtshofes (BGH) aus dem vergangenen Jahr bietet in diesem Zusammenhang Anhaltspunkte für die potenziell bußgeldmindernde Wirkung eines Compliance Systems. Es spricht einiges dafür, dass sich die hinter diesem BGH-Judikat stehende Argumentation auf die österreichische Rechtslage übertragen lässt. 

DSGVO auf einen Blick

Die neue Rechtslage bedeutet für beinahe jedes Unternehmen – je nach Art und Umfang der Datenverarbeitungs-Tätigkeit – einen mehr oder weniger beachtlichen Umstellungsaufwand. In jedem Fall setzt die DSGVO strenge Maßstäbe für jeden, der personenbezogene Daten in eigener Verantwortung oder im Auftrag eines Dritten verarbeitet.

Während die groben Eckpfeiler des Datenschutzrechts im Vergleich zur bislang geltenden Rechtslage größtenteils bestehen bleiben, herrscht zu vielen Detailfragen noch Uneinigkeit. Neben den Normadressaten selbst, stellen die bevorstehenden Änderungen daher auch eine Herausforderung für die mit der Durchsetzung betraute Datenschutzbehörde und die Gerichte dar. 

Unter anderem sieht die DSGVO vor allem weitgehende Eigendokumentationspflichten vor. Das bisher durch die Datenschutzbehörde geführte Online-Datenverarbeitungsregister wird abgeschaltet und durch ein individuell zu führendes „Verfahrensverzeichnis“ ersetzt. In datenschutzrechtlich sensibleren Bereichen sind zudem jeweils „Datenschutzfolgeabschätzungen“ vorzunehmen und zu dokumentieren. Bestimmte Arten der Datenverarbeitung setzen außerdem die zwingende Bestellung eines Datenschutzbeauftragten voraus. Die bereits nach geltender Rechtslage bestehenden Betroffenenrechte werden ausgeweitet – bei falscher/zu später Reaktion drohen künftig empfindliche Bußgelder.

Verstöße und ihre Folgen
Die exorbitanten Strafrahmen sind in aller Munde. Je nach Art des Verstoßes und Umsatz des belangten Unternehmens können zukünftig pro Verstoß Bußgelder in Höhe von EUR 20 Mio oder mehr verhängt werden. Besonders in diesem Kontext erscheint die sogleich dargestellte BGH-Entscheidung interessant. 

Nicht zu unterschätzen sind neben den drohenden Bußgeldern allerdings auch potenzielle zivilrechtliche Folgen. Abgesehen von möglichen Schadenersatzansprüchen der von Datenschutzverstößen unmittelbar Betroffenen, können wettbewerbsrechtliche Verfahren besonders unangenehm sein. So steht es beispielsweise Wettbewerbern und Verbraucherschutzverbänden frei,lauterkeitsrechtliche Vorwürfe gegen solche Unternehmen gerichtlich geltend zu machen, die gegen geltendes Datenschutzrecht verstoßen. Derartige Verfahren können nicht nur zeit- und kostenintensiv sein. Besonders einschneidend können Veröffentlichungsbegehren sein, welche es der obsiegenden Partei etwa ermöglichen, das Urteil in überregionalen Tageszeitungen zu veröffentlichen.

Bußgeldmindernde Wirkung von Compliance Systemen

Im vergangenen Jahr hatte sich der deutsche BGH mit einem Strafurteil des Landgerichts München I zu befassen. Das Münchner Gericht hatte im Zusammenhang mit Rüstungsgeschäften eines deutschen Unternehmens nicht nur Freiheitsstrafen gegen die agierenden Organträger, sondern auch ein Bußgeld gegen ein beteiligtes Unternehmen nach dem deutschen Ordnungswidrigkeitengesetz (OWiG) verhängt.

In seiner Entscheidung vom 9.5.2017 (Az 1 StR 265/16) ordnete der BGH die Zurückverweisung an das Erstgericht an und hob insbesondere die gegen das beteiligte Unternehmen verhängte Geldbuße auf und unterstrich – erstmalig – die Bedeutung eines Compliance Management Systems:

„Für die Bemessung der Geldbuße ist zudem von Bedeutung, inwieweit die Nebenbeteiligte ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance- -Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss […]. Dabei kann auch eine Rolle spielen, ob die Nebenbeteiligte in der Folge dieses Verfahrens entsprechende Regelungen optimiert und ihre betriebsinternen Abläufe so gestaltet hat, dass vergleichbare Normverletzungen zukünftig jedenfalls deutlich erschwert werden.“

Mit diesen Ausführungen gibt der BGH der Tatsacheninstanz damit vor, dass im Rahmen der erneuten Festsetzung einer Geldbuße haftungs- bzw bußgeldmindernd zu berücksichtigen ist, inwieweit das betroffene Unternehmen ein Compliance Management System eingerichtet hat.

Maßgeblich ist demnach nicht nur, ob ein solches System in der Vergangenheit – also zum Zeitpunkt des zugrundeliegenden Verstoßes – bereits eingerichtet war. Der BGH geht von einer bußgeldmindernden Wirkung vielmehr auch dann aus, wenn das betroffene Unternehmen ein bestehendes Compliance Management System in Folge des Strafverfahrens optimiert. Demnach können Unternehmen auch Compliance-Bemühungen zugutekommen, die erst nach Einleitung von behördlichen (Ermittlungs-)Handlungen gesetzt werden. Dies setzt freilich voraus, dass ein derartiges System zur Vermeidung von Rechtsverstößen bereits besteht.

Übertragung auf das österreichische (Datenschutz-)Recht?

Zwischen der deutschen und der österreichischen Rechtlage bestehen bedeutende Unterschiede hinsichtlich der Möglichkeit, Geldbußen bzw Strafen gegen ein Unternehmen zu verhängen. Im Gegensatz zum deutschen Ordnungswidrigkeitengesetz etwa, sieht das österreichische Recht keine vergleichbare Möglichkeit vor, eine Geldbuße direkt gegen juristische Personen oder Personenvereinigungen zu verhängen. Möglich ist nach dem österreichischen Verwaltungsstrafgesetz (VStG) allein die Anordnung einer gesamtschuldnerischen (Mit-)Haftung des Unternehmens.

Für den hier relevanten datenschutzrechtlichen Kontext bestehen diese gravierenden Unterschiede allerdings nicht. Auch in Österreich wird die Möglichkeit bestehen, datenschutzrechtliche Geldbußen direkt gegen juristische Personen zu verhängen (vgl Art 83 DSGVO und § 19 DSG-neu).

Die dargestellte BGH-Entscheidung gründet nicht auf einer ausdrücklichen gesetzlichen Regelung. Eine solche Rechtsnorm, aus der sich die bußgeldmindernde Wirkung von bestehenden bzw optimierten Compliance Systemen ergäbe, existiert – anders als dies etwa in Großbritannien der Fall ist – nicht. Der Grundgedanke lässt sich allenfalls einer Regelung des deutschen Kartellrechts entnehmen (vgl § 125 GWB) Insofern ist die BGH-Entscheidung freilich nicht überraschend, sondern überzeugt aus Wertungsgesichtspunkten. Es sind jedenfalls keine gewichtigen Argumente erkennbar, die – im Vergleich zu gänzlich untätigen Unternehmen – gegen eine Besserstellung solcher Unternehmen sprechen, die bewusst und präventiv Schritte zur Vermeidung von Gesetzesverstößen setzen.

Aufgrund der, jedenfalls im vorliegenden Kontext, vorherrschenden Vergleichbarkeit der Rechtslage, dürften sich die Feststellungen des BGH auch auf österreichische Anwendungsfälle übertragen lassen. Unzweifelhaft bringen Compliance Systeme jedenfalls schon deshalb Vorteile mit sich, da sie die Wahrscheinlichkeit künftiger Verstöße an sich verringern. Wird der sonst drohende Verstoß verhindert, stellt sich die Frage des Bußgeldes gar nicht erst.

Zusammenfassung und Ausblick

Die bevorstehenden Änderungen im Bereich des Datenschutzrechts verlangen den Marktteilnehmern viel Aufmerksamkeit ab. Unternehmen sind gehalten, sich früh mit dem Umfang der sie treffenden Pflichten auseinanderzusetzen und Systeme und Prozesse zu schaffen, die künftige Verstöße gegen geltendes Datenschutzrecht verhindern.

Bislang kann weder für Deutschland noch für Österreich vorhergesehen werden, inwieweit genau die Einführung und ständige Optimierung von Compliance Management Systemen Auswirkung auf die Höhe allenfalls zu verhängender Bußgelder haben wird. Es kann jedoch davon ausgegangen werden, dass die Datenschutzbehörde derartige Mechanismen positiv bewerten bzw berücksichtigen wird. Darüber hinaus ist freilich festzuhalten, dass die Einführung von Compliance Management Systemen die Wahrscheinlichkeit von (Datenschutz-)Verstößen selbst verringern dürfte und damit in sich bereits die Verhängung von Bußgeldern weniger wahrscheinlich macht.