Das DSGVO-Bußgeldverfahren: Tipps und EuGH-Rechtsprechung

Die Datenschutz-Grundverordnung (DSGVO) hat mit ihren drastisch erhöhten Bußgeldrahmen die Unternehmenslandschaft nachhaltig verändert. Lange Zeit waren jedoch zentrale Fragen der Bußgeldverhängung gegen juristische Personen in Deutschland, bedingt durch das nationale Ordnungswidrigkeitenrecht, heftig umstritten. Zwei wegweisende Entscheidungen des Europäischen Gerichtshofs (EuGH) vom 5. Dezember 2023 haben diese Debatte beendet und einen Paradigmenwechsel eingeläutet.

Für Unternehmen ist es wichtig, die juristischen Spielregeln und die prozessualen Fallstricke eines Bußgeldverfahrens genau zu kennen.

1) Die Haftung des Unternehmens nach Unionsrecht

Die zentrale Botschaft des EuGH lautet: Die materiellen Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO sind im Unionsrecht abschließend geregelt. Nationale Vorschriften, wie die des deutschen Ordnungswidrigkeitengesetzes (OWiG), die diesen materiellen Voraussetzungen widersprechen oder sie ergänzen, sind nicht anwendbar. Dies hat weitreichende Konsequenzen.

Die unmittelbare Unternehmenshaftung (Funktionsträgerprinzip)

Die wohl gravierendste Änderung betrifft die Zurechnung von Verstößen. Nach dem bisher in Deutschland geltenden Rechtsträgerprinzip des § 30 OWiG konnte ein Unternehmen nur dann mit einem Bußgeld belegt werden, wenn der Verstoß von einer identifizierten Leitungsperson (z.B. Geschäftsführer, Prokurist) begangen wurde. Die Aufsichtsbehörden standen vor der erheblichen Hürde, den Verstoß einer konkreten Führungskraft nachweisen zu müssen.

Diese Hürde hat der EuGH beseitigt und dem unionsrechtlichen Funktionsträgerprinzip zum Durchbruch verholfen. Ein Bußgeld kann nun direkt gegen das Unternehmen als verantwortliche Stelle verhängt werden. Es ist nicht mehr erforderlich, dass der Verstoß von einer Leitungsperson begangen oder auch nur einer bestimmten natürlichen Person zugeordnet wird. Ein Datenschutzverstoß, der von irgendeiner Person begangen wird, die im Rahmen der unternehmerischen Tätigkeit und im Namen des Unternehmens handelt, also auch von einem einfachen Angestellten ohne Leitungsfunktion, wird dem Unternehmen direkt zugerechnet. Die aufwändige Ermittlung unternehmensinterner Verantwortlichkeiten durch die Behörde entfällt.

Beispiel aus der anwaltlichen Praxis: Eine Marketingabteilung versendet ohne gültige Einwilligung einen Newsletter an einen großen Adressverteiler. Nach alter Rechtslage hätte die Behörde nachweisen müssen, dass der Marketingleiter oder ein Geschäftsführer dies angeordnet oder seine Aufsichtspflichten verletzt hat. Nach der neuen EuGH-Rechtsprechung genügt die Feststellung, dass der Versand durch Mitarbeiter des Unternehmens im Rahmen ihrer Tätigkeit erfolgte, um ein Bußgeld direkt gegen das Unternehmen zu verhängen.

Das Verschuldenserfordernis 

Der EuGH hat klargestellt, dass eine verschuldensunabhängige Haftung ("strict liability") ausgeschlossen ist. Ein Bußgeld setzt nach wie vor einen vorsätzlichen oder fahrlässigen Verstoß voraus. Auf den ersten Blick mag dies beruhigend klingen, doch der Gerichtshof hat den Fahrlässigkeitsmaßstab extrem niedrig angesetzt und damit die praktische Relevanz dieser Anforderung stark relativiert.

Ein Unternehmen handelt bereits dann fahrlässig, wenn es sich "über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte". Diese Formulierung bedeutet im Ergebnis, dass ein Verschulden bei einem objektiv festgestellten Verstoß gegen die DSGVO die Regel und nicht die Ausnahme sein wird. Einem professionellen Marktteilnehmer wird unterstellt, dass er die für ihn geltenden rechtlichen Rahmenbedingungen kennt.

Praxishinweis: Die Verteidigung mit dem Argument der Rechtsunkenntnis ist praktisch aussichtslos. Insbesondere wenn Aufsichtsbehörden, die Datenschutzkonferenz (DSK) oder der Europäische Datenschutzausschuss (EDSA) ihre Rechtsauffassungen in Leitlinien oder Tätigkeitsberichten veröffentlicht haben, kann sich ein Unternehmen nicht mehr darauf berufen, die Rechtslage anders eingeschätzt zu haben. Selbst der explizite Rat eines externen Anwalts schützt nicht vor dem Vorwurf der Fahrlässigkeit, wenn dieser Rat der gefestigten Verwaltungspraxis der Behörden widerspricht.

Die Rechenschaftspflicht als prozessuale Waffe der Behörden

Die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht ist eine der schärfsten Waffen der Aufsichtsbehörden. Sie verpflichtet Unternehmen nicht nur zur Einhaltung der Datenschutzgrundsätze, sondern auch dazu, diese Einhaltung jederzeit nachweisen zu können. Dies führt im Bußgeldverfahren zu einer faktischen Beweislastumkehr.

Nicht die Behörde muss dem Unternehmen einen Verstoß lückenlos nachweisen. Vielmehr muss das Unternehmen durch eine umfassende Dokumentation (z.B. Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen, Einwilligungserklärungen, technische und organisatorische Maßnahmen) belegen, dass es datenschutzkonform gehandelt hat. Kann es diesen Nachweis nicht erbringen, wird von einem Verstoß ausgegangen. Eine mangelhafte Dokumentation ist somit nicht nur ein formeller Fehler, sondern untergräbt die gesamte Verteidigungsposition und kann für sich genommen bereits ein Bußgeld nach sich ziehen.

2) Das Bußgeldverfahren in der Praxis: Eine prozessuale Betrachtung

Das Wissen um die materiellen Haftungsvoraussetzungen ist die eine Seite. Mindestens ebenso wichtig ist das Verständnis für den prozessualen Ablauf und die strategischen Weichenstellungen in den einzelnen Phasen des Verfahrens.

Phase 1: Das vorgeschaltete Aufsichtsverfahren

Selten beginnt ein Verfahren direkt mit einem Bußgeldbescheid. Am Anfang steht in der Regel ein Aufsichts- oder Prüfverfahren nach Art. 58 DSGVO, ausgelöst durch Beschwerden, Datenpannenmeldungen oder sonstige Hinweise. In dieser Phase klärt die Behörde den Sachverhalt auf, meist durch schriftliche Auskunftsersuchen. Hier werden bereits entscheidende Weichen für eine spätere Verteidigung gestellt. Das Unternehmen befindet sich in einem Spannungsfeld zwischen der Kooperationspflicht (Art. 31 DSGVO) und dem Recht, sich nicht selbst belasten zu müssen.

Wichtig ist in diesem Zeitpunkt unverzüglich eine interne Untersuchung (Internal Investigation) zu starten. Ihr Ziel ist es, den Sachverhalt schnell und umfassend aufzuklären und den Umfang des potenziellen Verstoßes zu ermitteln, Beweismittel zu sichern und der Geschäftsleitung eine fundierte Grundlage für weitere Entscheidungen zu geben. Bei potentiell schwerwiegenden Themen ist wichtig, dass eine solche Untersuchung von Beginn an unter anwaltlicher Leitung stattfindet, um die Ergebnisse durch das anwaltliche Berufsgeheimnis (Attorney-Client Privilege) bestmöglich vor einem Zugriff der Behörden zu schützen. Ohne diesen Schutz läuft das Unternehmen Gefahr, dass die Ergebnisse der internen Untersuchung beschlagnahmt und als Beweismittel gegen das Unternehmen selbst verwendet werden können.

Phase 2: Das formelle Ermittlungsverfahren

Erhärtet sich der Verdacht eines bußgeldbewehrten Verstoßes, leitet die Behörde das formelle Ermittlungsverfahren ein. Für das weitere Verfahren gelten nun die prozessualen Regelungen des OWiG und der Strafprozessordnung (StPO). Dem Unternehmen als "Betroffenem" stehen nun umfassende Verfahrensrechte zu, allen voran das Recht auf Akteneinsicht und das Recht auf rechtliches Gehör.

Juristischer Praxishinweis: Der Grundsatz "Keine Einlassung ohne Akteneinsicht" ist von überragender Bedeutung. Erst die Analyse der Ermittlungsakte offenbart, welche Informationen und Beweismittel der Behörde vorliegen und worauf sie ihre Vorwürfe stützt. Jede vorschnelle Stellungnahme birgt das Risiko, der Behörde unbeabsichtigt Informationen zu liefern, die sie noch nicht hatte, oder die eigene Verteidigungsposition ohne Not einzuschränken.

Verteidigungsstrategien im Ermittlungsverfahren

Die Verteidigung befindet sich hier in einem strategischen Dilemma, das eine sorgfältige Gratwanderung erfordert. Einerseits kann eine umfassende Kooperation mit der Aufsichtsbehörde gemäß Art. 83 Abs. 2 lit. f) DSGVO ein maßgeblicher Milderungsgrund bei der späteren Bußgeldbemessung sein. Eine verweigerte oder zögerliche Zusammenarbeit kann hingegen als eigenständiger Verstoß gewertet werden. Andererseits birgt eine vorschnelle und unkontrollierte Offenlegung von Informationen die Gefahr, der Behörde erst die Beweismittel zu liefern, die sie für die Begründung eines Bußgeldes benötigt. Jede Antwort, jedes übermittelte Dokument muss daher nicht nur auf seine inhaltliche Richtigkeit, sondern vor allem auf seine prozessuale Tragweite hin geprüft werden. Ziel muss es sein, den Informationsfluss zu steuern, anstatt von den Anfragen der Behörde getrieben zu werden.

• Die Stellungnahme: Ob und in welchem Umfang eine Stellungnahme zu den Vorwürfen abgegeben wird, ist eine zentrale strategische Entscheidung. Manchmal ist ein gezieltes Bestreiten des Sachverhalts oder der rechtlichen Würdigung sinnvoll. In anderen Fällen kann es klüger sein, zu den Vorwürfen zu schweigen und die Behörde ihre Ermittlungen führen zu lassen.

• Das Auskunftsverweigerungsrecht: Nach § 40 Abs. 4 S. 2 BDSG hat auch eine juristische Person das Recht, die Auskunft auf Fragen zu verweigern, deren Beantwortung sie der Gefahr der Verfolgung wegen einer Ordnungswidrigkeit aussetzen würde. Die unberechtigte Verweigerung kann jedoch als mangelnde Kooperation gewertet und sanktioniert werden.

• Verständigung ("Settlement"): In der Praxis sind auch einvernehmliche Verfahrensbeendigungen möglich. Ein solches Vorgehen kann Planungssicherheit schaffen und einen langen, kostspieligen Rechtsstreit vermeiden. Allerdings ist höchste Vorsicht geboten: Die Akzeptanz eines Bußgeldes, auch eines reduzierten, stellt ein faktisches Schuldeingeständnis dar. Dies kann Klägern in nachfolgenden zivilrechtlichen Schadensersatzprozessen nach Art. 82 DSGVO als Steilvorlage dienen.

3) Der Gang vor die Gerichte: Einspruch und Hauptverfahren

Gegen einen erlassenen Bußgeldbescheid kann das Unternehmen binnen zwei Wochen Einspruch einlegen. Damit beginnt das gerichtliche Verfahren, das ebenfalls mehrere Stufen durchläuft.

Das Zwischenverfahren nach dem Einspruch

Nach Einspruchseingang prüft zunächst die Aufsichtsbehörde selbst, ob sie den Bescheid aufrechterhält. Tut sie dies, gibt sie die Akten an die zuständige Staatsanwaltschaft ab. Diese agiert als "Herrin des Zwischenverfahrens" und prüft den Sachverhalt erneut. Sie kann das Verfahren einstellen oder die Akten an das zuständige Gericht weiterleiten.

Das Risiko der "Verböserung" (reformatio in peius)

Eine der größten prozessualen Gefahren im Einspruchsverfahren ist das Fehlen eines Verschlechterungsverbots. Legt ein Unternehmen Einspruch ein, ist das Gericht nicht an die Höhe des ursprünglichen Bußgeldes gebunden. Stellt das Gericht im Rahmen der Hauptverhandlung fest, dass der Verstoß schwerwiegender war als von der Behörde angenommen, oder werden weitere Verstöße aufgedeckt, kann es eine höhere Geldbuße verhängen. Die Entscheidung zum Einspruch muss daher das Risiko einer "Verböserung" sorgfältig abwägen.

Das Hauptverfahren und der Weg zum EuGH

Kommt es zur Hauptverhandlung, läuft diese ähnlich wie ein Strafverfahren ab, inklusive Beweisaufnahme durch Zeugen und Sachverständige. Hier kann der Sachverhalt, der von der Behörde oft nur einseitig ermittelt wurde, umfassend neu aufgerollt werden. Da viele Rechtsfragen der DSGVO weiterhin ungeklärt sind, besteht für die letztinstanzlichen Gerichte die Pflicht, bei Zweifeln an der Auslegung des Unionsrechts den EuGH im Rahmen eines Vorabentscheidungsverfahrens (Art. 267 AEUV) anzurufen. Dies kann das Verfahren zwar verlängern, bietet aber auch die Chance auf eine grundlegende Klärung zugunsten des Unternehmens.

4) Fazit

Die EuGH-Urteile haben die Rechtswirklichkeit für DSGVO-Bußgeldverfahren in Deutschland verändert. Die direkte Unternehmenshaftung, der niedrige Fahrlässigkeitsmaßstab und die Beweislastumkehr durch die Rechenschaftspflicht haben die Position der Aufsichtsbehörden massiv gestärkt. Für Unternehmen bedeutet dies, dass eine proaktive, lückenlos dokumentierte und juristisch fundierte Datenschutz-Compliance kein "Nice-to-have" ist, sondern ein wichtiger Bestandteil des Risikomanagements. Eine effektive Verteidigung beginnt lange vor dem ersten Schreiben der Behörde und erfordert in jeder Phase des Verfahrens eine juristische und strategische Begleitung.