Aufsatz : Datenschutzbeauftragte als Verbandssanktionen auslösende Leitungspersonen – Konsequenzen des VerSanG-E für den betrieblichen Datenschutz : aus der RDV 3/2021, Seite 129 bis 135
Am 21.10.2020 hat die Bundesregierung unter Berücksichtigung der zuvor ergangenen Änderungsvorschläge des Bundesrats[1] dem Bundestag das „Gesetz zur Stärkung der Integrität in der Wirtschaft“[2] zur Beschlussfassung zugeleitet. Der Gesetzesvorschlag enthält als Kernbestandteil das „Gesetz zur Sanktionierung von verbandsbezogenen Straftaten“ (Verbandssanktionengesetz – VerSanG).[3] Im Gegensatz zum geltenden Recht, nach dem die strafrechtliche Haftung höchstpersönlich ist, und damit nur für die handelnden natürlichen Personen besteht, soll mit dem VerSanG die Sanktionierung von Straftaten wirtschaftlich tätiger Verbände eine eigenständige, dem Legalitätsprinzip folgende gesetzlichen Grundlage erhalten.[4] Eine Beratung im Bundestag hat bis dato nicht stattgefunden;[5] abgesehen von einer kleinen Anfrage der FDP-Fraktion nach möglichen „negativen“ Folgen des Verbandssanktionengesetzes auf das Steuerund Steuerstrafrecht.[6]
I. Ziel des VerSanG
Mit dem VerSanG soll es möglich werden, neben den ohnehin strafrechtlich sanktionierten Einzeltätern, auch Unternehmen („Verbände“) für von ihren Leitungspersonen begangene Straftaten zu sanktionieren, wobei Leitungsperson und Verband in einem einheitlichen Verfahren oder auch gesondert belangt werden können.[7]
Zugleich soll das VerSanG das derzeit geltende Opportunitätsprinzip des Ordnungswidrigkeitenrechts durch das strafrechtliche Legalitätsprinzip (vgl. Verweis auf die StPO in § 24 Abs. 1 VerSanG-E) ersetzen. Infolgedessen müssten die Verfolgungsbehörden künftig bei Vorliegen jeden Anfangsverdachts für eine sog. Verbandstat gegen das betreffende Unternehmen ermitteln, wobei im Ergebnis aus Opportunitätsgründen von der Verfolgung auch abgesehen werden kann (§§ 35 ff. VerSanG-E).
Erstmals werden aber auch gesetzliche Sanktionsmilderungen bei Vorkehrungen zur Verhinderung oder wesentlicher Erschwerung von Fehlverhalten eröffnet und damit eine Motivation zur Implementierung von angemessenen und wirksamen Compliance-Maßnahmen geschaffen (§§ 17, 18 VerSanG-E).
II. Der Verband als Adressat der Sanktion
Das VerSanG dient nur der Sanktionierung von Verbänden, deren Zweck auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist. Bei anderen Verbänden bleibt es bei einer Ahndung nach § 30 OWiG. Ob ein wirtschaftlicher Zweck verfolgt wird, richtet sich nach den zu §§ 21, 22 des Bürgerlichen Gesetzbuches entwickelten Grundsätzen für die Unterscheidung zwischen ideellen und wirtschaftlichen Vereinen.[8]
Nach dem Vorbild von § 30 Abs. 1 Nr. 1 bis 3 OWiG fallen unter den Verbandsbegriff juristische Personen, nicht rechtsfähige Vereine und rechtsfähige Personengesellschaften (§ 2 Abs. 1 Nr. 1 lit. a bis c VerSanG-E).
Keine Rolle spielt es, wer der von dem Datenschutzverstoß Betroffene ist. Verkauft der Arbeitgeber, d.h. der Personalleiter als Leitungsperson, zur Erzielung von Einnahmen für das Unternehmen (Verband) Mitarbeiterdaten an Werbeunternehmen (strafbar gem. § 42 Abs. 1 BDSG), so kann bzw. muss – ggf. neben dem „Täter“ – nach dem Legalitätsprinzip das Unternehmen dafür einstehen.
Liegt kein wirtschaftlicher Geschäftsbetrieb vor oder handelt es sich bei der Rechtsverletzung um eine bloße Ordnungswidrigkeit, bleibt es bei einer Ahndung des Verbandes nach § 30 OWiG. Das OWiG bleibt darüber hinaus für sämtliche Verbände anwendbar, wenn es zu einer Aufsichtspflichtverletzung nach § 130 OWiG gekommen ist, die daraus resultierende Zuwiderhandlung aber keine volldeliktisch begangene Straftat ist.
III. Die Verbandstat
1. Vorliegen einer Straftat
Die Sanktionierung des Verbandes setzt eine „Verbandstat“ voraus, d.h. dass eine „Leitungsperson“ des Verbands eine Straftat begangen hat, „durch die Pflichten, die den Verband treffen, verletzt worden sind oder durch die der Verband bereichert worden ist oder werden sollte (§ 2 Abs. 1 Nr. 3 VerSanG-E). Des Weiteren kann nach § 3 Abs. 1 Nr. 2 VerSanG-E eine Verbandssanktion ausgelöst werden, wenn „jemand sonst in Wahrnehmung der Angelegenheiten des Verbandes eine Verbandstat begangen hat, weil Leitungspersonen des Verbandes die Straftat durch angemessene Vorkehrungen zur Vermeidung von Verbandstaten wie insbesondere Organisation, Auswahl, Anleitung und Aufsicht hätten verhindern oder wesentlich erschweren können.“ Im Ergebnis muss der Verband für eine pflichtwidrig (nicht) handelnde Leistungsperson einstehen, und dies auch dann, wenn es sich um einen „Ausreißer“ handelt, der allein in die Verantwortlichkeit des individuell Handelnden fällt.
Andererseits wird dem Verband eine Art Exculpationsmöglichkeit eröffnet, indem das VerSanG-E eine Sanktionsmilderung vorsieht, wenn das Unternehmen den Nachweis angemessener und wirksamer organisatorischer Vorkehrungen zur Vermeidung von Verbandstaten erbringt (vgl. §§ 3 Abs. 1 Nr. 2, 15 Abs. 1 Nr. 2 VerSanG-E),[9] bzw. im Wege einer verbandsinternen Untersuchung wesentlich zur Sachverhaltsaufklärung beiträgt (§§ 7, 18 VerSanG).[10]
2. Art der Straftat
Eine Verbandstat kann jede Straftat sein, sofern das Kriterium der Verbandsbereicherung oder der Verletzung von Verbandspflichten erfüllt ist. Verbandstaten sind daher nicht auf bestimmte Deliktsgruppen wie Vermögens- oder Steuerdelikte beschränkt. In Betracht kommen auch mit Strafe bedrohte Menschen – oder Persönlichkeitsverletzungen wie Menschenhandel zum Zweck der Ausbeutung der Arbeitskraft (§ 233 StGB), Umweltdelikte (§§ 324 ff. StGB) und Straftaten gegen den Wettbewerb (§§ 298, 299 Abs. 2, 299b StGB) und – wenn auch in der Gesetzbegründung unerwähnt – zu Lasten eines Betroffenen gehende Datenschutzverletzungen insbesondere dann, wenn der Verband durch die Straftat der Leitungsperson bereichert worden ist oder werden sollte. Der Begriff der Bereicherung entspricht weitgehend dem Begriff des Vermögensvorteils in § 263 StGB. Mittelbare wirtschaftliche Vorteile, wie zum Beispiel ersparte Aufwendungen oder eine durch Bestechung herbeigeführte Verbesserung der Wettbewerbssituation durch einen strafbaren „Ankauf“ von Kundendaten reichen aus.
IV. Handeln einer „Leitungsperson“
1. Definition
Die Verbandssanktion setzt ein strafrechtlich relevantes Handeln oder auch Unterlassen einer Leitungsperson voraus. Die Leitungsperson muss entweder selbst eine Verbands tat begangen haben, oder sie muss angemessene Vorkehrungen unterlassen haben, die die Verbandstat einer sonstigen Person verhindert oder wesentlich erschwert hätten. „Täter“ einer Verbandstat sind Personen, auf deren Auswahl und Überwachung entweder wegen ihrer mit der formellen Position verbundenen Einflussmöglichkeiten (als Mitglied eines Organs oder Vorstandes oder als vertretungsberechtigter Gesellschafter der juristischen Person oder Personenvereinigung) oder wegen der von ihnen tatsächlich wahrgenommenen Leitungsfunktion innerhalb der Verbandsorganisation besonderer Wert zu legen ist.
Für die Sanktionierung des Unternehmens reicht es aus, dass die Verwirklichung einer vorwerfbaren Verbandsstraftat im Betrieb festgestellt wird. Der konkrete Täter der Verbandsstraftat muss nach der Gesetzesbegründung[11] nicht zwingend bekannt sein, wobei sich jedoch die Frage stellt, wie eine schuldhafte Tat nachgewiesen werden kann. Schuld als individueller Vorwurf kann nur den Täter betreffen. Eine Verbandssanktion kann ferner gegen das Unternehmen verhängt werden, wenn z.B. mehrere Leitungspersonen gemeinsam oder eine von ihnen Täter der unternehmensbezogenen Straftat sind.
Nach der Gesetzesbegründung zu § 2 Abs. 1 Nr. 2 lit. e VerSanG-E[12] wird das „Innehaben“ einer Leitungsfunktion“ in Anlehnung an die Regelungen zur Begründung von Garantenstellungen und in Übereinstimmung mit § 30 Abs. 1 Nr. 5 OWiG an die faktische Übernahme einer Leitungsfunktion geknüpft. Maßgebend ist die Ausübung eines selbstständigen Pflichtenkreises aus den Bereichen „Leitung“ oder „Überwachung“.
2. Der DSB als Leitungsperson
Die Gesetzesbegründung weist darauf hin, dass „je nach Ausgestaltung des wahrzunehmenden Verantwortungsbereichs auch Umwelt-, Compliance- und auch Datenschutzbeauftragte Leitungsfunktion iSd VerSanG haben können. Dies geschieht jedoch mit der Einschränkung, dass sie „mit Weisungsbefugnissen ausgestattet sind“,[13] wobei davon ausgegangen wird, dass auch Datenschutzbeauftragte über die gesetzliche „Normalausstattung“ mit Hinweis und Beratungsaufgaben[14] hinaus von der bestellenden Stelle mit zusätzlichen Weisungsbefugnissen ausgestattet werden können. Hat der DSB solche Befugnisse ausdrücklich oder jedenfalls faktisch zumindest in Form eines Vetorechts, steht die Frage nach seiner Leitungsfunktion an.[15]
3. Leitungsfunktion wegen Garantenstellung
Die Verbandssanktion auf Grund von Handlungen bzw. Nichthandlungen von Datenschutzbeauftragten kann sich – so der Hinweis in der Gesetzesbegründung – auch ohne spezielle Zuweisung von Weisungsbefugnissen ergeben, weil sich ihre „Leitungsfunktion“ aus einer von ihnen wahrzunehmenden Garantenstellung ergibt. Nach § 13 Abs. 1 StGB ist jemand, der es „unterlässt, einen Erfolg abzuwenden, der zum Tatbestand eines Strafgesetzes gehört“, dann strafbar, „wenn er rechtlich dafür einzustehen hat, dass der Erfolg nicht eintritt.“ Strafrechtliche Haftung für die von ihm nicht verhinderte Straftat setzt voraus, dass der DSB rechtlich dafür einzustehen hat, dass der strafrechtlich missbilligte Erfolg ausbleibt, d.h. dass er die Pflicht hat, Verstöße aufzudecken und zukünftig zu verhindern.[16]
Nach einer bislang einmaligen Entscheidung zu der diesbezüglichen Haftung „eines Beauftragten“ hatte der BGH[17] entschieden, dass Beauftragte, denen die Corporate Compliance anvertraut ist, regelmäßig strafrechtlich eine Garantenpflicht dahingehend trifft, im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern. Diese Garantenpflicht (§ 13 StGB) hat der BGH[18] für einen Revisionsleiter bejaht und dabei obiter dictum auch eine Aussage zu sonstigen Betriebsbeauftragten, wie u.a. insbesondere Compliance-Beauftragten, getroffen. Dabei nimmt der BGH Bezug auf eine Entscheidung des OLG Frankfurt,[19] in der die strafrechtliche Haftung eines „inaktiven“ Abwasserbeauftragten bejaht wurde.
Insoweit werden dann von der Literatur Parallelen zu dem Datenschutzbeauftragten gezogen.[20] Andererseits wird aber auch darauf hingewiesen, dass dem DSB gleichwohl gemäß § 39 Abs. 1 lit a und b DS-GVO primär eine beratende und überwachende Funktion und explizit keine Compliance-Verantwortung zukomme.[21] Zuzustimmen ist Drewes,[22] wonach es letztlich von dem konkreten, über die gesetzlichen Mindestbefugnisse hinausgehenden Pflichtenkreis des Datenschutzbeauftragten abhängt, ob ihm im Einzelfall durch ergänzende Kompetenzen eine Garantenstellung zukommt.
4. Leitungsfunktion eines externen Datenschutzbeauftragten
Da nach § 2 Abs. 1 Nr. 2 VerSanG-E eine Leitungsperson u.a. ein Mitglied eines vertretungsberechtigten Organs einer juristischen Person, des Vorstandes eines nicht rechtsfähigen Vereins oder ein vertretungsberechtigter Gesellschafter einer rechtsfähigen Personengesellschaft und auch jede sonstige Person, ist die für die Leitung des Betriebs oder Unternehmens eines Verbandes verantwortlich handelt, wozu auch die Ausübung von Kontrollbefugnissen in leitender Stellung gehört,[23] kann auch ein externer Datenschutzbeauftragter unter den genannten Voraussetzungen die Funktion einer Leitungsperson haben, da sie nicht das Bestehen eines Arbeitsverhältnisses voraussetzt. Die Vorschrift geht insoweit von einer faktischen Betrachtungsweise aus. Kontrollfunktionen haben neben den Mitgliedern eines Aufsichtsrates auch Personen, denen die Verantwortung für einen abgrenzbaren Unternehmensbereich oder für einen abgrenzbaren Teil der betrieblichen Aktivitäten eines Verbandes obliegt.[24]
5. Vorwerfbarkeit
Entscheidet man sich für eine Garantenstellung bzw. weisungsbefugte Leitungsposition des DSB, so ist weitere Voraussetzung für die Haftung, dass das Handeln oder Unterlassen des Datenschutzbeauftragten kausal für die eingetretene Rechtsverletzung geworden ist, d.h. dass bei gebotenem rechtskonformen Handeln der Datenschutzverstoß wahrscheinlich ausgeblieben wäre.
Für die Verbandshaftung soll jedoch schon die objektive Feststellung genügen, dass Leitungspersonen Aufsichtsmaßnahmen unterlassen haben. Es ist laut Gesetzesbegründung[25] nicht erforderlich, dass Aufsichtsmaßnahmen vorsätzlich oder fahrlässig unterlassen worden sind.
V. Die Sanktionen nach dem VerSanG-E
1. Zuständigkeiten
Für die Verfolgung der Verbandstat, d.h. für das Sanktionsverfahren, zuständig ist in der Regel die Staatsanwaltschaft (§§ 23, 24 VerSanG-E). Bei Antragsdelikten kann der Verband nur verfolgt werden, wenn ein auf den Verband bezogener Antrag gestellt wurde (§ 4 Abs. 1 VerSanG-E). Das Verfahren vollzieht sich grundsätzlich nach Regeln des Strafverfahrens (§ 24 Abs. 1 VerSanG-E), d.h. insbesondere nach der StPO. Als konsequente Folge der entsprechenden Anwendbarkeit der StPO stellt § 27 VerSanG-E klar, dass der Verband im Verfahren die Stellung eines Beschuldigten hat.
2. Finanzielle Sanktionen
Nach § 8 VerSanG-E kommen als Sanktionen die Verbandsgeldsanktion und die Verwarnung mit Verbandsgeldsanktionsvorbehalt in Betracht. Die Höhe der Verbandsgeldsanktion enthält zwei Stufen und kann je nach Fallkonstellation zwischen fünfhundert Euro und 10 Prozent des durchschnittlichen Jahresumsatzes liegen.
Unabhängig von der Milderungsmöglichkeit nach §§ 17, 18 VerSanG-E richtet sich die Bemessung der Verbandsgeldsanktion nach den Regelungen des § 15 VerSanG-E. Maßgeblich sind die Gesamtumstände im Einzelfall, wobei Abs. 1 vorsieht, dass bei der Bemessung der Verbandsgeldsanktion die wirtschaftlichen Verhältnisse des Verbandes zu berücksichtigen sind.
Ist eine Tat zugleich Verbandstat und Ordnungswidrigkeit, richtet sich das Höchstmaß der Verbandsgeldsanktion nach dem für die Ordnungswidrigkeit angedrohten Höchstmaß der Geldbuße, wenn das ansonsten anwendbare Höchstmaß übersteigt. Bei Datenschutzverstößen sind somit Art. 83 DS-GVO mit § 9 VerSanG-E in Vergleich zu setzen. Der Höchstbetrag an Bußgeld nach Art. 83 DS-GV beträgt im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
3. Publizität
a) Die öffentliche Bekanntmachung der Verurteilung
Bei einer großen Zahl von Geschädigten kann das Gericht zur Information der durch die Verbandstat Geschädigten die öffentliche Bekanntmachung der Verurteilung des Verbandes anordnen ( § 14 VerSanG-E). Die Art der Bekanntmachung ist im Urteil festzulegen. Satz 2 knüpft an § 200 Abs. 2 Satz 1 StGB an. Zu wählen ist das Medium, von dem zu erwarten ist, dass es eine gezielte Ansprache der von der Verbandstat Betroffenen am besten gewährleisten kann. Sind die Geschädigten alle an einem bestimmten Ort ansässig, kann beispielsweise auch ein Aushang an der Gerichtstafel oder eine Veröffentlichung in einer Tageszeitung ausreichend sein. Entscheidend für die Art der Veröffentlichung sind in erster Linie die Informationsinteressen der durch die Verbandstat betroffenen Personen. Auf der anderen Seite sind die Persönlichkeitsrechte der Leitungspersonen zu schützen. Art und der Umfang der Veröffentlichung müssen möglichst grundrechtsschonend sein. Eine Namhaftmachung der an der Verbandstat beteiligten natürlichen Personen wird dazu in aller Regel nicht erforderlich sein.
b) Das Verbandssanktionsregister
Als ein primär für die Justiz konzipiertes Informationssystem soll nach § 54 VerSanG-E beim Bundesamt für Justiz ein Verbandssanktionenregister mit u.a. den rechtskräftigen gerichtlichen Entscheidungen über die Verhängung von Verbandssanktionen geführt werden. Gerichte, Staatsanwaltschaften und sonstigen Behörden sind nach § 56 Abs. 1 VerSanG-E zur Bereitstellung der Informationen verpflichtet. § 56 Abs. 1 VerSanG-E stellt somit die notwendige datenschutzrechtliche Rechtsgrundlage zur Datenübermittlung dar. Der Verband kann nach § 58 VerSanG-E Auskunft über die über ihn gespeicherten Informationen beantragen. Da die Auskunft sensible personen- und verbandsbezogene Daten betrifft, sind hier besondere Anforderungen zu stellen. Auch Auskünfte an Dritte sind ggf. möglich.
4. Milderung des Sanktionsrahmens
a) Motivation zu Compliance-Maßnahmen und interne Untersuchungen
Das VerSanG-E sieht eine Sanktionsmilderung vor, wenn das Unternehmen den Nachweis angemessener und wirksamer organisatorischer Vorkehrungen zur Vermeidung von Verbandstaten erbringt (vgl. §§ 3 Abs. 1 Nr. 2, 15 Abs. 1 Nr. 2 VerSanG-E),[26] wobei der BGH[27] auch bereits derzeit schon ein Compliance-Management bei der Bußgeldberechnung berücksichtigt.
Nach §§ 17 und 18 VerSanG-E besteht des Weiteren die Möglichkeit einer erheblichen Milderung des Sanktionsrahmens, sofern der Verband im Wege einer verbandsinternen Untersuchung wesentlich zur Sachverhaltsaufklärung beiträgt.[28]
b) Existenz eines Compliance-Systems
Bei Nachweis wirksamer Compliance-Maßnahmen, d.h. angemessener und wirksamer organisatorischer Vorkehrungen zur Vermeidung von Verbandstaten[29] lässt das VerSanG erstmals gesetzlich eine Sanktionsmilderung zu (vgl. §§ 3 Abs. 1 Nr. 2, 15 Abs. 1 Nr. 2 VerSanG-E).[30] Unter dem allgemeinen Compliance-System ist eine Verfahrensvorgabe zu verstehen, „die unabhängig von Sondertatbeständen oder besonderen Anhaltspunkten für eine Rechtsverletzung oder spezieller Gefahrenlagen“ Geltung hat, wobei nach h.M. eine umfassende Verpflichtung von Unternehmen zur Etablierung eines solchen allgemeinen Überwachungssystems gesetzlich oder im Rahmen ihrer Sorgfaltspflichten nicht besteht.[31] Im Gegensatz zu der ebenfalls angesprochenen verbandsinternen Untersuchung ist hier ein präventives Vorgehen zur Vermeidung möglicher Straftaten gemeint, das dann aber auch zur Entdeckung solcher führen kann.
5. Beihilfe zur Sachverhaltsaufklärung im Einzelfall (verbandsinterne Untersuchung)
a) Allgemeines
Nach §§ 17 und 18 VerSanG-E besteht des Weiteren die Möglichkeit einer erheblichen Milderung des Sanktionsrahmens, sofern der Verband im Wege einer verbandsinternen Untersuchung wesentlich zur Sachverhaltsaufklärung beiträgt.[32] Verbandsinterne Untersuchungen können sowohl durch den Verband selbst als auch durch von ihm beauftragte Dritte durchgeführt werden (§ 16 VerSanG-E). Liegen die Voraussetzungen des § 17 Abs. 1 VerSanG-E vor und mildert das Gericht die Verbandsgeldsanktion, so reduzieren sich die Höchstgrenzen der Verbandsgeldsanktion um die Hälfte (vgl. § 18 VerSanG-E).
b) Das Vorgehen bei der Untersuchung im Einzelnen
Aufgabe verbandsinterner Untersuchungen ist u.a. die Aufklärung von Verbandstaten mittels strukturierter unternehmenseigener Ermittlungen auf der Grundlage einer bestehenden Verdachtslage. Als konkrete Untersuchungsmaßnahmen kommen u.a. Mitarbeiterbefragungen, E-Mail-Screenings, Videoüberwachung oder die Durchsuchung des Arbeitsplatzes in Betracht.
- 17 Abs. 1 VerSanG-E normiert die kumulativ erforderlichen Voraussetzungen, bei deren das Gericht die Verbandssanktion unter Berücksichtigung des § 18 VerSanG-E mildern soll und bindet damit das Gericht in seinem Ermessen. Diese Voraussetzungen, die kumulativ vorliegen müssen, konkretisieren zugleich den Begriff der verbandsinternen Untersuchung. Danach setzt eine entsprechende Sanktionsmilderung insbesondere voraus, dass:
- der Verband einen wesentlichen Beitrag zur Aufklärung der Verbandstat und Verbandsverantwortlichkeit leistet (vgl. § 17 Abs. 1 Nr. 1 VerSanG-E),
- ein beauftragter Dritter (bspw. eine Rechtsanwaltskanzlei) oder die für den beauftragten Dritten bei den verbandsinternen Untersuchungen handelnde Person nicht Verteidiger des Verbandes ist (vgl. § 17 Abs. 1 Nr. 2 VerSanG-E),
- eine ununterbrochene und uneingeschränkte Zusammenarbeit mit den Verfolgungsbehörden stattfindet (vgl. § 17 Abs. 1 Nr. 3 VerSanG-E),
- die Ergebnisse der verbandsinternen Untersuchung einschließlich aller für die verbandsinterne Untersuchung wesentlicher Dokumente nach Abschluss der Untersuchung den Verfolgungsbehörden zur Verfügung gestellt werden (vgl. § 17 Abs. 1 Nr. 4 VerSanG-E) und
- die regelmäßig unverzichtbare Mitarbeiterbefragung die Grundsätze eines fairen Verfahrens, (vgl. § 17 Abs. 1 Nr. 5 VerSanG-E), dessen Kriterien in einer nicht abschließenden Aufzählung in § 17 Abs. 1 Nr. 5 lit. a bis c VerSanG-E konkretisiert werden, beachtet. Beschäftigte müssen darauf hingewiesen werden, dass ihre Auskünfte in einem Strafverfahren gegen sie verwendet werden können und dass sie einen anwaltlichen Beistand oder ein Mitglied des Betriebsrats zu der Befragung hinzuzuziehen können und dass für selbstbelastende Auskünfte ein Auskunftsverweigerungsrecht besteht.
Zeigt der Verband gegenüber der Verfolgungsbehörde an, eine derartige, Untersuchung durchzuführen, kann die Behörde bis zum Abschluss der Untersuchung von der Verfolgung absehen (§ 41 VerSanG-E). Verbandsinternen Untersuchungen werden damit eine neue besondere Bedeutung erhalten.
6. Derzeitiges Recht
Anzumerken bleibt, dass ein auf die Verhinderung von Rechtsverstößen angelegtes Compliance-System und der realisierte Wille zur Aufklärung durch interne Untersuchungen, das heißt alle Maßnahmen zur Gewährleistung von rechtmäßigem Verhalten aller Verbandsangehörigen von den Verfolgungsbehörden und Gerichten auch schon nach bislang geltendem Recht berücksichtigt werden.[33]
Arbeitgebern hat der Gesetzgeber in § 26 Abs. 1 S. 2 BDSG Regelungen zur Aufklärung begangener Straftaten vorgegeben. Für präventive Maßnahmen gilt der Grundsatz der Verhältnismäßigkeit (§ 26 Abs. 1 S. 1 BDSG). Nach Thüsing[34] ist hinsichtlich der Vermeidung bzw. Aufdeckung der nach dem VerSanG relevanten Straftaten demnach folgendes gestuftes Vorgehen angezeigt: § 26 Abs. 1 S. 1 BDSG rechtfertigt verhältnismäßige allgemeine Maßnahmen gegen Rechtsverletzungen von Mitarbeitern. Ergeben sich jedoch hierbei Anhaltspunkte auf von einzelnen Beschäftigten begangene Straftaten, gilt nunmehr die Vorgabe des § 26 Abs. 1 S. 2 BDSG hinsichtlich der weiteren Verfolgung.
VI. Weitere Konsequenzen der Verbandstat
a) Subsidiarität bzw. Fortgeltung des OWiG
Ist eine Verbandstat zugleich eine Ordnungswidrigkeit im Sinne von § 30 Abs. 1 OWiG, hat das Verbandssanktionengesetz Vorrang. Dies gilt auch, wenn eine Zuwiderhandlung im Sinne von § 130 OWiG gleichzeitig eine Verbandstat im Sinne von § 3 Abs. 1 Nr. 2 VerSanG–E ist. Ein neuer § 30 Abs. 1 S. 2 OWiG soll demgemäß wie folgt regeln: „Wird gegen die juristische Person oder Personenvereinigung wegen einer Verbandstat eine Verbandssanktion nach § 3 Abs. 1 Nummer 2 Verbandssanktionengesetz verhängt, so schließt dies auch aus, dass gegen sie wegen des Unterlassens von Vorkehrungen zur Vermeidung dieser Verbandstat eine Geldbuße festgesetzt wird.“
Anwendbar bleibt jedoch das OWiG, wenn es zu einer Aufsichtspflichtverletzung nach § 130 OWiG gekommen ist, die daraus resultierende Zuwiderhandlung aber keine volldeliktisch begangene Straftat ist.
Während zur Sanktion nach den VerSanG-E ein schuldhaftes Handeln einer Leitungsperson vorliegen muss, wird dies – jedenfalls von den Aufsichtsbehörden – für die Vornahme einer Bußgeldverhängung nicht gefordert. Nach einer Entschließung der DSK[35] haften Unternehmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten im Rahmen von Art. 83 DS-GVO. Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen, wie sie § 41 Abs. 1 BDSG enthält, stehen dem nicht entgegen. Diese Bußgeld-Haftung für Mitarbeiterverschulden ergibt sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts und der sich daraus ergebenden Haftung der Unternehmen für das Fehlverhalten sämtlicher ihrer Beschäftigten. Eine Kenntnis der Geschäftsführung eines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich. Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können („Exzesse“), sind ausgenommen.[36]
b) Vermögensabschöpfung
Als weitere finanzielle Sanktion soll eine Vermögensabschöpfung in Form der Einziehung der Taterträge möglich sein (vgl. § 73b Abs. 1 S. 1 StGB-E). Damit soll dem Umstand Rechnung getragen werden, dass Verbandssanktionen unter den Voraussetzungen des § 2 Abs. 2 VerSanG-E auch bei Taten verhängt werden können, für die das deutsche Strafrecht nicht gilt.[37]
c) Gewerbeuntersagung
Das VerSanG-E tangiert Zuständigkeiten bei Datenschutzverstößen nach der Gewerbeordnung (§ 40 Abs. 7 BDSG). Demnach können Rechtsverletzungen von Verantwortlichen, die in den Anwendungsbereich der Gewerbeordnung fallen, sowohl nach der GewO als auch nach datenschutzrechtlichen Regelungen Konsequenzen nach sich ziehen. Hinzutritt nun die Sanktionierung nach dem VerSanG.
Die relevante (Sanktions)Maßnahme nach der Gewerbeordnung ist die vollständig, teilweise oder auch ggf. befristet angeordnete Gewerbeuntersagung wegen Unzuverlässigkeit nach § 35 Abs. 1 S. 1 GewO bzw. daneben geltender spezieller gewerberechtlicher Normen[38], wobei sich die Unzuverlässigkeit auch aus schweren Verstößen gegen datenschutzrechtliche Vorschriften ergeben kann. Möglich ist auch eine Stilllegung von Datenverarbeitungsanlagen nach § 51 GewO. Die Entscheidung über den Verstoß gegen das Datenschutzrecht liegt bei der Datenschutzaufsichtsbehörde.[39] Insoweit ist die Befugnis bzw. ggf. auch Verpflichtung der Aufsichtsbehörde zur Unterrichtung der Gewerbeaufsicht relevant (§ 40 Abs. 3 S. 3 BDSG).[40]
VII. Rückgriff auf die Leitungsperson
Der dem BT vorliegende Entwurf des VerSanG sieht keine Regelungen zu Regressforderungen des sanktionierten Unternehmens gegenüber den handelnden Leitungspersonen vor, schließt diese damit aber auch nicht aus.
In den vorliegenden Stellungnahmen zum RefE wurde z.T. vehement gefordert, den Regress ausdrücklich zuzulassen, weil nur durch die Weitergabe der Sanktion eine echte verhaltenssteuernde Wirkung erzielt werde und die Sanktion ansonsten die „Falschen“ (Anteilsinhaber und Arbeitnehmer) treffe. Umgekehrt plädieren andere Stellungnahmen für den Ausschluss des Regresses, weil dieser mit dem Grundgedanken des VerSanG-E, dass die Sanktion den Verband treffen solle, unvereinbar sei.[41]
Somit kommen ggf. einerseits neue Haftungsrisiken auch auf Manager und ihre D&O-Versicherer zu. Dies gilt umso mehr, als das VerSanG nunmehr zu mehr Unternehmensuntersuchungen und hierbei auch zur Aufdeckung von Pflichtverletzungen durch Entscheidungsträger führen kann. Andererseits wird der Rückgriff eingeschränkt durch die zu Gunsten von Arbeitnehmern geltenden Grundsätze des innerbetrieblichen Schadensausgleichs, nach denen Arbeitnehmer für Fehler im Rahmen ihrer arbeitsvertraglichen Tätigkeit nur eingeschränkt haften.[42]
VIII. Ausblick
Erwartet wurde bislang, dass das VerSanG noch vor der anstehenden Bundestagswahl das Gesetzgebungsverfahren durchläuft.[43] Ob das nach der nunmaligen 6-monatigen Nichtbefassung mit der Parlamentsvorlage und angesichts der Kritik an der Regelung noch geschehen wird, bleibt abzuwarten. Das VerSanG sollte zwei Jahre nach seiner Verkündung in Kraft treten, d.h. frühestens mit Ende 2022. Diese Übergangsfristen sollen es der Justiz, aber auch den Unternehmen ermöglichen, sich auf die neuen Regelungen einzustellen. Wörtlich heißt es dazu im Gesetzentwurf: „Außerdem steht den Verbänden damit ausreichend Zeit zur Verfügung, die internen Abläufe zu überprüfen und erforderlichenfalls weitere ComplianceMaßnahmen zu treffen.“
Prof. Peter Gola Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.
[1] BR-Drucks. 440/20: der Gesetzesentwurf durch die die Bundesregierung nunmehr am 21.10.2020 in den Bundestag eingebracht (BT-Drucks. 19/23568).
[2] Zum bisherigen Verlauf des Gesetzgebungsverfahren: http://dipbt.bundestag.de/extrakt/ba/WP19/2656/265689.html.
[3] Reichert/Ulrich, Verbandssanktionengesetz – Update, GmbR; https://blog.otto-schmidt.de/gesellschaftsrecht/2020/11/09/verbandssanktionengesetz-update-2.
[4] Vgl. Höfer/Grosjean/Neuling/Radermacher/Ramcke, Das neue Unternehmensstrafrecht in Deutschland: https://www2.deloitte.com/dl/de/pages/legal/articles/neues-unternehmensstrafrecht; ferner: Möhlenkamp, Unternehmenssanktionsgesetz – Neue Risiken für Unternehmen und ihre Entscheidungsträger, https://www.wilhelm-rae.de/sites/default/files/pdf/versicherungspraxis_-_unternehmenssanktionsgesetz_-_neue_risiken_fuer_unternehmen_und_entscheidungstraeger_-_oktober_2020.pdf; Würz, Gesetzgebungsverfahren Verbandssanktionengesetz – Sachstand, Inhalte und Anforderungen: https://www.haufe.de/compliance/recht-politik/verbandssanktionengesetz_230132_515536.html; als Kommentar bereits angekündigt: Eggers/Schmittmann (Hrsg), Verbandssanktionengesetz, R&W, 2. Quartal 2021.
[5] Zu dem Gesetzesentwurf und den diversen Stellungnahmen der Verbände vgl. BMJV:-https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/DE/Staerkung_Integritaet_Wirtschaft.html.
[6] BT-Drs. 19/26453 v. 04.02.2021.
[7] Vgl. im Einzelnen Gesetzesbegründung BT-Drs. 19/23568 v. 21.10.2020, S. 42
[8] Siehe dazu BGH, Beschl. v. 16.05.2017 – II ZB 7/16.
[9] Schulz, Wirksames Compliance-Management: Anreize und Orientierungshilfen zur Vermeidung von (Verbands-)Sanktionen, CCZ 2020, 49.
[10] Mazzons/Hense, Interne Untersuchungen – Was ändert sich, was bleibt?, DB 2020, 56; ferner nachstehend Abschnitt 5.4.
[11] BT-Drs.19723568 v. 21.10. 2020, S. 68
[12] BT-Drs.19/23568 v. 21.10.2020, S. 65
[13] Vgl. RefE des VerSanG i.F.v. 20.04.2020, S. 75.
[14] Zur Hinweispflicht siehe ErwGr. 77 zur DS-GVO.
[15] Schomm/Basar: https//www.unternehmensstrafrecht.de/derdatenschutzbeauftragte-im-Lichte-des-verbandssanktionengesetzes.
[16] Piltz/Häntschel, Der Datenschutzbeauftragte – Anwalt, Berater, Haftungsobjekt?, RDV 2019, 277 (282); dazu ausführlich und für den DSB ablehnend Drewes, in: Simitis/Hornung/Spiecker, Datenschutzrecht, Art. 39 Rn. 59 ff.
[17] Urt. v. 17.07.2009 – 5 Str. 314/08 = NJW 2009, 3373 m. Anm. Stoffers.
[18] Barton, Der Compliance-Officer im Minenfeld des Strafrechts, RDV 2010, 19; Kraska, Strafbarkeit des Datenschutzbeauftragten – verschärfte Haftung wie beim Compliance-Officer: https://www.it-recht-kanzlei.de/strafbarkeit-datenschutzbeauftragten.html?print=1 ; Heberlein, Der Datenschutzbeauftragte – ein Kernelement der Datenschutz-Grundverordnung, Juris 1/2019, S. 19.
[19] Urt. v. 22.05.1987 – 1 Sg 401/86 = NJW 1987, 2753.
[20] Siehe die diesbezügliche Argumentation zur Garantenhaftung von Wybitul, Was ändert sich mit dem neuen Datenschutzrecht für Arbeitgeber und Betriebsräte?, ZD 2016, 203; Paal, in: Paal/Pauly (Hrsg.), DS-GVO, Art. 39, RN 12; Marschall, Strafrechtliche Haftungsrisiken des betrieblichen Datenschutzbeauftragten? ZD 2014, 66.
[21] Vgl. LfDI Niedersachsen, https://lfd.niedersachsen.de/startseite/infothek/faqs_zur_ds_gvo/; Piltz/Häntschel, Der Datenschutzbeauftragte – Anwalt, Berater, Haftungsobjekt?, RDV 2019, 277; Specht/ Mantz/Krätschmer, Handbuch europäisches und deutsches Datenschutzrecht, § 6 Rn. 8; Drewes, in: Simitis/Hornung/Spiecker, Datenschutzrecht, Art. 39 Rn. 3. 59: Beschluss der Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland vom 17. April 2018 zur Strafrechtliche Haftung des DSB: „Eine solche scheidet regelmäßig für den betrieblichen Datenschutzbeauftragten aus, da er in der Regel keine Garantenpflicht hat. Eine Ausnahme bildet die Strafbarkeit nach § 203 StGB, wenn der bDSB ein fremdes Geheimnis offenbart, von dem er während seiner Tätigkeit erfahren hatte.“
[22] In: Simitis/Hornung/Spiecker, Datenschutzrecht, Art. 39 Rn. 66; ebenso Wolff, in: Schantz/Wolff, Rn. 911; Bergt, in: Kühling/Buchner, DS-GVO Art. Rn. 55, Kremer/Sander, in: Koreng/Lachenmann (Hrsg.), Formularhandbuch Datenschutzrecht, B II Rn. 19.
[23] Jung, Datenschutz (Compliance)Managementsysteme – Nachweis- und Rechenschaftssysteme nach der DS-GVO; BT. Drs. 10/23568, S. 75.
[24] BT-Drucksache 19/23568 – S. 66.
[25] BT-Drs. 19/23568, S. 79 letzter Abs. 2.
[26] Schulz, Wirksames Compliance-Management: Anreize und Orientierungshilfen zur Vermeidung von (Verbands-)Sanktionen, CCZ 2020, 49.
[27] Urt. v. 09.05.2017 – 1 Str 265/16.
[28] Mazzons/Hense, Interne Untersuchungen – Was ändert sich, was bleibt?, DB 2020, 56.
[29] Zur Compliance als Aufgabe der Unternehmensleitung vgl, Thüsing, Beschäftigtendatenschutz und Compliance, 3. Aufl. § 2 Rn. 13.
[30] Schulz, Wirksames Compliance-Management: Anreize und Orientierungshilfen zur Vermeidung von (Verbands-)Sanktionen, CCZ 2020, 49
[31] Im Einzelnen vgl. Thüsing, Beschäftigtendatenschutz und Compliance, § 2 Rn. 16.
[32] Mazzons/Hense, Interne Untersuchungen – Was ändert sich, was bleibt?, DB 2020, 56.
[33] Vgl. BGH, Urt. v. 09.05.2017 – 1 StR 265/16; Engelhart, Sanktionierung von Unternehmen und Compliance, 2. Aufl., S. 440 ff.
[34] Thüsing, Beschäftigtendatenschutz und Compliance § 3 Rn. 26 f
[35] 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 03.04.2019.
[36] Vgl. hierzu auch BfDI Berlin, RDV 2021, wonach allein entscheidend ist, dass ein Datenschutzverstoß festgestellt wird, und nicht, wer die dafür ursächlichen Handlungen vorgenommen hat. Anders nunmehr LG Berlin, Beschl. v. 18.02.2021 – 212 Js-OWi 1/20 (n.rk.), wonach gegen eine juristische Person nur dann DS-GVO-Bußgelder erlassen werden RDV 2021, 170 ff., wenn bei einzelnen Verantwortlichen der Firma (z.B. Vorstand, Geschäftsführer) das persönliche Verschulden vorliege.
[37] Vgl. im Einzelnen die Gesetzbegründung, BT-Drs. 19/23568 v. 21.10.2020, S. 42.
[38] Vgl. Lewinski von, in: Auernhammer BDSG § 40 Rn. 54 ff.
[39] Lewnski von/Herrmann, PinG 2017, 165 und PinG 2017, 216.
[40] Gola, Handbuch Beschäftigtendatenschutz, 108.
[41] Vgl. Stellungnahme der Gesellschaftsrechtlichen Vereinigung – Wissenschaftliche Vereinigung für Unternehmens- und Gesellschaftsrecht (VGR) e.V. („VGR“) zum RegE (Abschnitt4): https://www. gesellschaftsrechtlichevereinigung.de/index.php?id=33.
[42] Vgl. im Einzelnen zur internen Haftung von Datenschutzbeauftragten bei Gola/Reif, Datenschutzbeauftragte in Unternehmen und Behörden, E, I, 1 d.
[43] Waldeck, Aktueller Stand des Gesetzgebungsverfahrens bezüglich des Verbandssanktionengesetzes (VerSanG) http://www.ra-waldeck.de/aktueller-stand-des-gesetzgebungsverfahrens-bezueglich-des-verbandssanktionengesetzes-versang/; ferner IHK Frankfurt: https://www.frankfurt-main.ihk.de/recht/themen/aktuell/index.html.