Das Funktionsträgerprinzip im Datenschutzrecht

Eine aktuelle Entscheidung des Interdiözesanen Datenschutzgericht unter Bezugnahme auf den Juris-Artikel von Rechtsanwalt Dr. Klaus Lodigkeit zu “Sanktionen nach der Datenschutz-Grundverordnung: Geldbußen nach Art. 83 DS-GVO.” 

In einem Rechtsstreit vor dem Interdiözesanem Datenschutzgericht (IDSG 21/2020) zwischen einem Krankenhaus und der kirchlichen Datenschutzaufsicht galt es unter Anderem festzustellen, nach welcher Rechtsvorschrift das Verwaltungsgericht eine Geldbuße gegen eine juristische Person verhängen darf. Hierzu verwies das Interdiözesane Datenschutzgericht auf ein Urteil des LG Bonn und berücksichtigte bei seiner Entscheidung einschlägige Fachliteratur, so auch den Juris-Artikel von Rechtsanwalt Dr. Klaus Lodigkeit zu “Sanktionen nach der Datenschutz-Grundverordnung (Teil 1): Geldbußen nach Art. 83 DS-GVO.” 

Entgegen den Vorschriften im Deutschen Verfassungsrecht soll im Kontext des Datenschutzes nach dem Funktionsträgerprinzip entschieden werden, sodass Bußgelder unter weitaus weicheren Schranken gegen Unternehmen erlassen werden können.

In dem zugrundeliegenden Sachverhalt wurden personenbezogene Daten und personenbezogenen Daten besonderer Kategorie einer Patientin durch fahrlässiges Verhalten einer Mitarbeiterin in unzulässiger Weise verarbeitet. Unzulässig deshalb, da Informationen insbesondere über den Gesundheitszustand der Patientin trotz Sperrvermerk an ihren Ehemann weitergeleitet wurden. Die Patientin hatte zuvor ausdrücklich darauf hingewiesen, dass ihrem Ehemann keine Auskünfte zu erteilen seien. Die Mitarbeiterin missachtete diese Tatsache und das, obwohl Sie über den Umgang mit Daten nach den Anforderungen der DS-GVO geschult wurde. Von Relevanz für den Sachverhalt war zudem, dass die Mitarbeiterin keine Leitungsfunktion im Unternehmen innehatte. 

Ungeachtet der Zulässigkeit und Begründetheit dieses Verfahrens, war Gegenstand der Untersuchung, inwiefern dem Krankhaus als juristische Person das Handeln der eigenen Mitarbeiterin als Verantwortlicher zugerechnet werden und infolgedessen ein Bußgeld verhängt werden durfte. Dies führte zwangsläufig zu der Frage, ob im Datenschutzrecht nach der DS-GVO das Funktionsträgerprinzip Anwendung findet oder eher das in Deutschland normierte Rechtsträgerprinzip eingreifen würde. 

Die Festsetzung eines Bußgeldes bestimmt sich nach den Vorschriften aus dem Gesetz über Ordnungswidrigkeiten (OWiG) „Das Sanktionssystem des OWiG stellt die Handlungen natürlicher Personen als Täter in den Mittelpunkt der Haftungsbegründung. (…) die Sanktionierung von juristischen Personen ist aber auch möglich. Nach §30 Abs. 1 OWiG kann gegen juristische Personen oder Personenvereinigungen ein Bußgeld verhängt werden, Dies setzt voraus, dass der Verstoß gerade auch den Pflichtenkreis der juristischen Person betrifft oder in deren finanziellem Interesse geschieht und auf der Handlung einer Person beruht, die in einem Vertretungs- oder Leitungsverhältnis zu der juristischen Person steht. Die Festsetzung ist nach § 30 Abs.4 OWiG auch in einem selbstständigen Verfahren möglich, ohne ein Verfahren gegen die handelnde natürliche Person betreiben zu müssen. In § 130 OWiG wird außerdem die Verletzung einer Aufsichtspflicht durch den Inhaber eines Betriebes oder Unternehmens sanktioniert, was wiederum über § 30 OWiG die Grundlage für die Verhängung einer Geldbuße gegenüber einer juristischen Person darstellen kann. Mögliche Adressaten des Art. 83 DS-GVO sind nach Art. 83 Abs. 3 DS-GVO jedenfalls Verantwortliche und Auftragsverarbeiter. Gemäß Art. 4 Nr. 7 und Nr. 8 DS-GVO sind dies natürliche oder juristische Personen. Der europäische Gesetzgeber hat in Erwägungsgrund 150 klargestellt, dass im Falle der Auferlegung eines Bußgeldes der Begriff „Unternehmen“ i.S.d. Art. 101 und 102 AEUV verstanden werden soll. Dabei verweist er auf den EU-kartellrechtlichen Unternehmensbegriff. Anders als im deutschen, vom Rechtsträgerprinzip geprägten Recht, folgen dessen Strukturen im Unionsrecht dem Funktionsträgerprinzip. Das Unionsrecht geht dabei von einem weitverstandenen funktionalen Unternehmensbegriff aus, der am Unternehmen als wirtschaftlich tätige Einheit anknüpft.“

Im Einklang mit dem europäischen Gesetzgeber und der ständigen Rechtsprechung des Europäischen Gerichtshof beschloss das Interdiözesane Datenschutzgericht, dass „wenn Daten im Bereich einer juristischen Person verarbeitet werden, grundsätzlich auch die juristische Person als Rechtsträger der betroffenen Einrichtung oder des betroffenen Unternehmens „Verantwortlicher“ ist und nicht die jeweils handelnde natürliche Person.“

Daraus ergab sich dann auch in logischer Konsequenz, dass das Interdiözesanes Datenschutzgericht dem Unionsrecht folgte und bei seiner Entscheidung das Funktionsträgerprinzip anwendete. „Eine juristische Person haftet datenschutzrechtlich für das Verschulden aller ihrer Mitarbeiter unabhängig davon, ob die Mitarbeiter eine Organstellung (vgl. etwa § 35 Abs. 1 Satz 1 GmbHG) oder eine andere Führungsposition innehaben (vgl. §§ 30 Abs. 1, 130 OWiG). 

Im Einklang mit dieser Rechtsprechung hatte zuvor bereits das LG Bonn mit Urteil vom 11. November 2020 – 29 OWi 1/20 -, RN. 51 – 67 entschieden. Auch die überwiegende Auffasung in der Literatur sieht allein das Funktionsträgerprinzip nach dem Vorbild des europäischen Kartellrechts in der Lage, die Einheitlichkeit und die Effektivität der Verhängung von Geldbußen gem. Art. 83 DS-GVO zu gewährleisten. Auf diese Weise berücksichtigte das Interdiözesane Datenschutzgericht bei seiner Entscheidung auch den § 51 Geldbußen KDG. Danach will das KDG den Einklang des kirchlichen Datenschutzrechts mit der DS-GVO sicherstellen. Außerdem gebietet der Grundsatz der Effektivität des Datenschutzes die Anwendung des Funktionsträgerprinzips (§ 51 Abs. 2 KDG, Art. 83 Abs. 1 DSGVO).

Die gesamten Urteilsgründe finden Sie auf: 

Beschluss des IDSG: https://www.dbk.de/fileadmin/user_upload/Beschluss-IDSG-21-2020_vom_16.07.2021_anonym.Fas.pdf

Den dazugehörigen Artikel von Rechtsanwalt Dr. Klaus Lodigkeit LL.M., auf dessen Basis zum Funktionsträgerprinzip entschieden wurde, finden Sie unter: 

Lodigkeit AnwZert ITR 1/2018 Anm. 2 oder auch auf https://www.it-recht.net/fachaufsatz-zu-geldbussen-nach-art-83-datenschutz-grundverordnung/