Bereits mit Spannung war das heutige Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin (C-807/21)“ erwartet worden.
Kann ein Bußgeld gegen ein Unternehmen unmittelbar verhangen werden? Genügt bereits ein Datenschutzverstoß, um ein Bußgeld zu verhängen oder muss dieser Verstoß schuldhaft begangen sein? Diese Fragen hatten vor allem in Deutschland zu einem Dauerbrenner geführt. Der EuGH positionierte sich nun klar und folgte damit auch den Schlussanträgen des Generalanwalts Campos Sánchez-Bordona vom 27. April 2023:
- Ja, ein Unternehmen kann unmittelbarer Adressat eines Bußgeldbescheides sein, ohne dass der Verstoß einer natürlichen Person zugerechnet werden muss.
- Ja, es bedarf eines fahrlässigen oder vorsätzlichen Verstoßes, wobei keine Handlung oder keine Kenntnis durch ein Leitungsorgans der juristischen Person erforderlich ist.
Im Einzelnen:
Vorgeschichte und Rechtsansicht des Generalanwalts
Das Landgericht (LG) Berlin hatte mit Beschluss vom 18. Februar 2021 das Bußgeldverfahren gegen die Deutsche Wohnen SE – mittlerweile Vonovia SE – eingestellt (LG Berlin, Az. 526 OWi LG) 212 Js-OWi 1/20 (1/20)). Damit hatte sich die Deutsche Wohnen SE vorerst erfolgreich gegen das von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BInBDI) verhängte Bußgeld in Höhe von 14,5 Millionen Euro gewehrt.
Der Deutsche Wohnen SE wurde vorgeworfen, personenbezogene Daten von Mietern ihrer Tochtergesellschaften unrechtmäßig lange gespeichert und keine Maßnahmen zur Löschung getroffen zu haben. Auch nach Auszug der Mieter waren laut BInBDI personenbezogene Daten – darunter auch sensible Daten wie Identitätsnachweise, Angaben über Vormietverhältnisse, Steuer-, Sozial- und Krankenversicherungsdaten – noch einzusehen, und zwar über die Aufbewahrungsfristen hinaus. 2017 hatte dies bereits zu einer ersten Rüge geführt. Da der Verstoß 2019 immer noch nicht behoben war, erging der Bußgeldbescheid in entsprechende Höhe, mit der Begründung, dass die Deutsche Wohnen SE es vorsätzlich unterlassen habe, die notwendigen Maßnahmen zur Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen.
Das LG Berlin hatte sich damit gegen die Rechtsansicht des LG Bonn ausgesprochen (LG Bonn, Az. 29 OWi 1/20), welches vertreten hatte, dass das Rechtsträgerprinzip gemäß § 30 OWiG keine Anwendung finde. Stattdessen hatte das LG Berlin vertreten, dass nach deutschem Ordnungswidrigkeitenrecht juristische Personen nur dann direkt sanktioniert werden können, wenn den Unternehmensverantwortlichen ein konkretes Fehlverhalten nachgewiesen werden könne, § 30 OWiG also anwendbar sei.
Gegen die Einstellung des Verfahrens hatte BInBDI im Einvernehmen mit der Staatsanwaltschaft Beschwerde beim Kammergericht (KG) Berlin eingereicht, welches dem EuGH im Wege des Vorabentscheidungsersuchens die folgenden Fragen zur Auslegung von Art. 83 Abs. 4 bis 6 Datenschutz-Grundverordnung (DSGVO) vorlegte:
- Kann ein Bußgeldverfahren unmittelbar gegen ein Unternehmen durchgeführt werden, ohne dass es der Feststellung einer durch eine natürliche und identifizierte Person begangenen Ordnungswidrigkeit bedarf?
- Muss das Unternehmen den durch einen Mitarbeitenden vermittelten Verstoß schuldhaft begangen haben, oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß gegen die DSGVO aus („strict liability“)?
In den Schlussanträgen vom 27. April 2023 vertrat der Generalanwalt Campos Sánchez-Bordona bereits die Auffassung, dass nach der DSGVO gegen ein Unternehmen unmittelbar ein Bußgeldverfahren geführt werden könne, sodass Bußgelder auch unmittelbar gegen Unternehmen verhängt werden können.
Allerdings bestünde laut Generalanwalt Campos Sánchez-Bordona keine verschuldensunabhängige Verantwortlichkeit, sondern es sei vielmehr die Feststellung eines vorsätzlichen oder fahrlässigen Verhaltens durch eine natürliche Person erforderlich.
Generalanwalt Campos Sánchez-Bordona sprach sich dabei für ein weites Verständnis des Verschuldensbegriffs aus, damit keine zu hohen Anforderungen an ein Verschulden gestellt würde.
Vorlagefrage 1
Der EuGH positionierte sich klar dafür, dass eine Geldbuße gemäß Art. 83 Abs. 4 bis 6 DSGVO unmittelbar gegen ein Unternehmen verhangen werden darf:
- Der Begriff des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO sei weit definiert. Er umfasse auch juristische Personen (siehe Randziffer 39 des Urteils).
- Der EU Gesetzgeber habe daher auch nicht bei den Sanktionsvorschriften zwischen natürlichen und juristischen Personen unterschieden. Mithin müssten auch Unternehmen, soweit sie die Verantwortung für eine Datenverarbeitung tragen, die durch sie oder in ihrem Namen erfolgt (vgl. Erwägungsgrund 74 der DSGVO), hierfür einstehen und bei einem Verstoß haften (siehe Randziffer 43 des Urteils).
- Das bedeute, „dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (siehe Randziffer 44 des Urteils).
- Es müsse möglich sein, für die in den Sanktionsvorschriften genannten Verstöße Geldbußen auch unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden könnten (siehe Randziffer 44 des Urteils).
- Dieses Ergebnis sei auch mit den Erwägungsgründen 10, 11 und 129 der DSGVO kompatibel, welche vorsehen, dass innerhalb der EU ein unionsweit gleichmäßiges, hohes und einheitlich anwendbares Datenschutzniveau gelten soll (Randziffer 60 des Urteils).
- Schließlich sei auch festzustellen, dass der Begriff „Unternehmen“ iSd Art. 101 und 102 AEUV ohne Bedeutung für die Frage sei, ob und unter welchen Voraussetzungen eine Geldbuße nach Art. 83 DSGVO gegen einen Verantwortlichen verhängt werden könne, der eine juristische Person sei, da diese Frage abschließend in Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DSGVO geklärt sei. Diese regelten klar, dass eine Geldbuße gegen eine juristische Person nicht erst dann verhangen werden könne, wenn ein Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde (Randziffer 60 des Urteils).
Vorlagefrage 2
Auch bezüglich des Verschuldensmaßstabes ist der EuGH dem Generalanwalt Campos Sánchez-Bordona gefolgt:
- Der Wortlaut von Art. 83 Abs. 2 DSGVO sei eindeutig, wonach nur Datenschutzverstöße, welche der Verantwortliche schuldhaft begehe, also vorsätzlich oder fahrlässig, zur Verhängung einer Geldbuße führen könnten (Randziffer 68 des Urteils).
- Das Sanktionssystem der DSGVO ermögliche es, eine Geldbuße zu verhängen, um einen Anreiz für datenverarbeitende Unternehmen zu schaffen, den Anforderungen der DSGVO nachzukommen (Randziffer 73 des Urteils).
- Demgegenüber habe es der EU Gesetzgeber aber nicht für erforderlich erhalten, Geldbußen verschuldensunabhängig zu verhängen. Um auch im Hinblick auf die Durchsetzung der DSGVO ein gleichwertiges und einheitliches Schutzniveau sicherzustellen, wäre es nicht angemessen, Mitgliedstaaten zu gestatten, hiervon abzuweichen. Auch wäre eine solche Wahlfreiheit geeignet, „den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen“ (Randziffer 74 des Urteils).
- Es bedarf deshalb der Feststellung, dass ein Verstoß gegen die DSGVO vorsätzlich oder fahrlässig begangen wurde (Randziffer 75 des Urteils).
- Die Anforderungen hieran seien aber nicht allzu hoch zu setzen. Es genüge, wenn der Verantwortliche über die „Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“. Hierbei sei es irrelevant, ob ihm der Verstoß gegen die DSGVO bewusst sei (Randziffer 76 des Urteils). Auch sei keine Handlung und auch keine Kenntnis durch ein Leitungsorgans der juristischen Person erforderlich (Randziffer 77 des Urteils).
Auswirkungen auf die Praxis / Praxishinweis
Das heutige Urteil des EuGH wird dazu führen, dass sich die Rechtsprechung zukünftig intensiv mit den Anforderungen an die Verschuldenshaftung auseinandersetzen wird. Vor allem werden aber die Datenschutzbehörden vor Erlass eines Bußgeldbescheides nachzuweisen haben, dass ein fahrlässiges oder vorsätzliches Handeln vorliegt. Allein ein Verstoß gegen die DSGVO genügt demnach nicht.
Dennoch, die Anforderungen hieran sind nicht hoch. Vor allem dürften Unternehmen es zukünftig schwerer haben, darzulegen und nachzuweisen, dass sie den DSGVO-Verstoß nicht hätten erkennen können. Deshalb sollten Unternehmen durch hinreichende Compliance-Maßnahmen sicherstellen, dass die datenschutzrechtlichen Vorgaben auch umgesetzt und eingehalten, folglich gelebt, werden.
