X
Digital
Datenschutz Unternehmensrecht

DSGVO- Geldbußen und Regressansprüche gegenüber leitenden Organen

Art 83 DSGVO regelt die Voraussetzungen für die Verhängung von Geldbußen bei Verstößen gegen die DSGVO. Im folgenden Beitrag wird erörtert, gegen wen Geldbußen verhängt werden können und in weiterer Folge die Möglichkeit allfälliger Regressansprüche gegen Organe von Unternehmen.[lindepaywall tokens=“dsaktuell-media“]

Sanktionen gemäß Art 83 DSGVO

Die nach Art 83 DSGVO zu verhängenden Geldbußen haben in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ zu sein. Daher kommt den vorgesehenen Sanktionen nicht nur eine korrektive Funktion, sondern gleichermaßen auch abschreckende Wirkung zu. Sinn und Zweck der Verhängung von Geldbußen ist nach ErwG 148 DSGVO die Stärkung der Rechtsdurchsetzung (Schreibauer/Spittka in Wybitul, EU-Datenschutz-Grundverordnung, Art 83, Rz 2). ErwG 150 nennt „Unternehmen“ und „Personen, die keine Unternehmen sind“, als Adressaten der zu verhängenden Strafen. Somit ist eine Bestrafung grundsätzlich unabhängig von der Eigenschaft als juristische oder natürliche Person möglich.

Regelungen im DSG

Eine nähere Ausgestaltung der Voraussetzungen für die Verhängung von Geldbußen gegen juristische Personen hat der österreichische Gesetzgeber in § 30 DSG normiert. Demnach kann die Datenschutzbehörde Geldbußen gegen juristische Personen verhängen, sofern Personen gegen die Vorschriften der DSGVO verstoßen, „die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person (…) innehaben“ (§ 30 Abs 1 DSG). Von der Möglichkeit der Verhängung von Geldbußen gegen Behörden und öffentliche Stellen macht der österreichische Gesetzgeber hingegen keinen Gebrauch.

Ausdrücklich in § 30 Abs 3 DSG geregelt ist das Verbot der Doppelbestrafung, wonach von der Bestrafung der natürlichen Person (des strafrechtlich Verantwortlichen nach § 9 Verwaltungsstrafgesetz [VStG]) abzusehen ist, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird. Der Behörde kommt daher hinsichtlich einer parallelen Bestrafung der juristischen Person und der verantwortlichen natürlichen Person (im Sinne des § 9 VStG) kein Ermessen zu (siehe auch Funk-Leisch/Weber/Wildmoser, Versicherbarkeit des Regresses gegen Vorstände wegen der Verhängung von Unternehmensstrafen, ZFR 2018, Seite 398).

Insbesondere bei erstmaligen Verstößen soll die Datenschutzbehörde (DSB) primär verwarnen. Diese in § 11 DSG vorgesehene Regelung, nämlich die Bindung der DSB in ihrem Ermessen an die Verwarnung als vorrangige Maßnahme, widerspricht der in der DSGVO ausdrücklich normierten Möglichkeit, parallel zur Verwarnung auch Geldbußen zu verhängen (siehe auch Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG, § 11, Rz 4ff).

Zur organschaftlichen Haftung

Wie bereits erwähnt, sind die Voraussetzungen der Haftung von juristischen Personen bei Verstößen gegen die DSGVO in § 30 DSG geregelt. Vor dem Hintergrund der in der DSGVO geregelten Pflichten der Verantwortlichen bzw Auftragsverarbeiter stellt sich die Frage, ob bzw inwieweit Regressansprüche von juristischen Personen gegenüber ihren geschäftsführenden Organen bestehen.

Nach den allgemeinen zivilrechtlichen Bestimmungen kommt bei der Verhängung von Verwaltungsstrafen gegen das Unternehmen in erster Linie der Regress wegen Schadenersatz in Betracht. Sofern den handelnden Organwaltern eine Pflichtverletzung vorgeworfen werden kann und die übrigen Voraussetzungen zur Geltendmachung von Schadenersatz vorliegen, stützt sich der Anspruch auf die allgemeinen Schadenersatzbestimmungen sowie auf die gesellschaftsrechtlichen Spezialbestimmungen im GmbH-Gesetz und Aktiengesetz.

Eine weitere Regressmöglichkeit besteht nach § 896 Allgemeines Bürgerliches Gesetzbuch (ABGB). Grundsätzlich regelt § 896 ABGB den Regress unter Gesamtschuldnern und stellt einen Anspruch eigener Art dar. Der Norm kommt allerdings Schadenersatzcharakter im Innenverhältnis zu, wenn das Verhalten des Leitungsorgans eine Pflichtverletzung aus dem (freien) Dienst- bzw Geschäftsführungsvertrag darstellt. Die Höhe des Regressanspruchs richtet sich dabei nach dem jeweiligen Grad des Verschuldens eines ordentlichen und gewissenhaften Geschäftsleiters (Gamerith/Wendehorst in Lukas/Rummel, ABGB4, § 896, Rz 26).

Regressverbot?

Allerdings stellt sich die Frage, ob der Überwälzung von Verwaltungsstrafen einer juristischen Person an eine natürliche Person ein allgemeines Regressverbot entgegensteht. Eine Regressmöglichkeit von Unternehmen ist nämlich nach dem Verbandsverantwortlichkeitsgesetz (VbVG) ausdrücklich ausgeschlossen. Nach hL ist daraus ein allgemeines Regressverbot zwar nicht abzuleiten (Funk-Leisch/Weber/Wildmoser, ZFR 2018, Seite 400), allerdings ist nach der Meinung von Funk-Leisch/Weber/Wildmoser aufgrund der Regelung im Materiengesetz, nämlich im – bereits oben erwähnten – § 30 Abs 3 DSG ein Regressverbot im Bereich des Datenschutzes zu bejahen. Dies wird damit begründet, dass zB in § 22 Abs 6 Z 2 Finanzmarktbehördenaufsichtsgesetz (FMABG) eine parallele Bestrafung juristischer und natürlicher Personen zulässig ist, da die FMA „von der Bestrafung eines Verantwortlichen gemäß § 9 des Verwaltungsstrafgesetzes (…)“ absehen „kann“. Hingegen wird in § 30 Abs 3 DSG die Bestrafung der natürlichen Person ausdrücklich untersagt, sofern die Behörde die juristische Person belangt. Im Übrigen ist mit dem Abänderungsantrag zu § 30 Abs 3 DSG idF des Datenschutz-Deregulierungs-Gesetzes 2018 (AA-10 26. GP 5) der ursprünglich in Abs 3 vorgesehene letzte Halbsatz „und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegen stehen“, entfallen.

Dieser Argumentation könnte entgegengehalten werden, dass der Gesetzgeber im Bereich des Datenschutzrechts zwar eine parallele Bestrafung von juristischen Personen und verantwortlichen natürlichen Personen (im Sinne des § 9 VStG) verbietet, daraus allerdings ein Regressverbot des Unternehmens nicht abzuleiten ist. Weshalb eine Pflichtverletzung der verantwortlichen natürlichen Person eine Regressmöglichkeit ausschließen soll, ist aus der Bestimmung des § 30 Abs 3 DSG nicht abzuleiten. Vielmehr könnte die Möglichkeit der Geltendmachung von Regressansprüchen gerade aus dieser Norm abgeleitet werden. Denn der Gesetzgeber gibt der Behörde lediglich eine Wahlmöglichkeit und nimmt die verantwortliche natürliche Person (im Sinne des § 9 VStG) nicht aus der Pflicht.

Conclusio

Der Gesetzgeber hat ausdrücklich klargestellt, dass keine Verwaltungsstrafen gegen verantwortliche natürliche Personen (im Sinne des § 9 VStG) verhängt werden dürfen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen das Unternehmen verhängt wird. Die Behörde hat daher entweder die juristische Person oder die verantwortliche natürliche Person zu bestrafen. Ein Ermessen hinsichtlich einer parallelen Bestrafung kommt der Behörde nicht zu. Diese Klarstellung durch den Gesetzgeber könnte auch bedeuten, dass eine Regressmöglichkeit von Unternehmen gegenüber verantwortlichen natürlichen Personen nicht besteht, sofern die Behörde die juristische Person in die Pflicht genommen und mit einer Verwaltungsstrafe belegt hat.

[/lindepaywall]

Christian Kern

Wir von Preslmayr Rechtsanwälte sind führende Experten im Wirtschaftsrecht. Neben den rechtlichen Aspekten gilt unsere Aufmerksamkeit vor allem den wirtschaftlichen Zielen unserer Mandanten. Wir sehen uns als juristische Begleiter und Problemlöser mit unternehmerischem Denken.