5. Dezember 2023
Bereits mit Spannung war das heutige Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin (C-807/21)“ erwartet worden.
Kann ein Bußgeld gegen ein Unternehmen unmittelbar verhangen werden? Genügt bereits ein Datenschutzverstoß, um ein Bußgeld zu verhängen oder muss dieser Verstoß schuldhaft begangen sein? Diese Fragen hatten vor allem in Deutschland zu einem Dauerbrenner geführt. Der EuGH positionierte sich nun klar und folgte damit auch den Schlussanträgen des Generalanwalts Campos Sánchez-Bordona vom 27. April 2023:
Im Einzelnen:
Das Landgericht (LG) Berlin hatte mit Beschluss vom 18. Februar 2021 das Bußgeldverfahren gegen die Deutsche Wohnen SE – mittlerweile Vonovia SE – eingestellt (LG Berlin, Az. 526 OWi LG) 212 Js-OWi 1/20 (1/20)). Damit hatte sich die Deutsche Wohnen SE vorerst erfolgreich gegen das von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BInBDI) verhängte Bußgeld in Höhe von 14,5 Millionen Euro gewehrt.
Der Deutsche Wohnen SE wurde vorgeworfen, personenbezogene Daten von Mietern ihrer Tochtergesellschaften unrechtmäßig lange gespeichert und keine Maßnahmen zur Löschung getroffen zu haben. Auch nach Auszug der Mieter waren laut BInBDI personenbezogene Daten – darunter auch sensible Daten wie Identitätsnachweise, Angaben über Vormietverhältnisse, Steuer-, Sozial- und Krankenversicherungsdaten – noch einzusehen, und zwar über die Aufbewahrungsfristen hinaus. 2017 hatte dies bereits zu einer ersten Rüge geführt. Da der Verstoß 2019 immer noch nicht behoben war, erging der Bußgeldbescheid in entsprechende Höhe, mit der Begründung, dass die Deutsche Wohnen SE es vorsätzlich unterlassen habe, die notwendigen Maßnahmen zur Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen.
Das LG Berlin hatte sich damit gegen die Rechtsansicht des LG Bonn ausgesprochen (LG Bonn, Az. 29 OWi 1/20), welches vertreten hatte, dass das Rechtsträgerprinzip gemäß § 30 OWiG keine Anwendung finde. Stattdessen hatte das LG Berlin vertreten, dass nach deutschem Ordnungswidrigkeitenrecht juristische Personen nur dann direkt sanktioniert werden können, wenn den Unternehmensverantwortlichen ein konkretes Fehlverhalten nachgewiesen werden könne, § 30 OWiG also anwendbar sei.
Gegen die Einstellung des Verfahrens hatte BInBDI im Einvernehmen mit der Staatsanwaltschaft Beschwerde beim Kammergericht (KG) Berlin eingereicht, welches dem EuGH im Wege des Vorabentscheidungsersuchens die folgenden Fragen zur Auslegung von Art. 83 Abs. 4 bis 6 Datenschutz-Grundverordnung (DSGVO) vorlegte:
In den Schlussanträgen vom 27. April 2023 vertrat der Generalanwalt Campos Sánchez-Bordona bereits die Auffassung, dass nach der DSGVO gegen ein Unternehmen unmittelbar ein Bußgeldverfahren geführt werden könne, sodass Bußgelder auch unmittelbar gegen Unternehmen verhängt werden können.
Allerdings bestünde laut Generalanwalt Campos Sánchez-Bordona keine verschuldensunabhängige Verantwortlichkeit, sondern es sei vielmehr die Feststellung eines vorsätzlichen oder fahrlässigen Verhaltens durch eine natürliche Person erforderlich.
Generalanwalt Campos Sánchez-Bordona sprach sich dabei für ein weites Verständnis des Verschuldensbegriffs aus, damit keine zu hohen Anforderungen an ein Verschulden gestellt würde.
Der EuGH positionierte sich klar dafür, dass eine Geldbuße gemäß Art. 83 Abs. 4 bis 6 DSGVO unmittelbar gegen ein Unternehmen verhangen werden darf:
Auch bezüglich des Verschuldensmaßstabes ist der EuGH dem Generalanwalt Campos Sánchez-Bordona gefolgt:
Das heutige Urteil des EuGH wird dazu führen, dass sich die Rechtsprechung zukünftig intensiv mit den Anforderungen an die Verschuldenshaftung auseinandersetzen wird. Vor allem werden aber die Datenschutzbehörden vor Erlass eines Bußgeldbescheides nachzuweisen haben, dass ein fahrlässiges oder vorsätzliches Handeln vorliegt. Allein ein Verstoß gegen die DSGVO genügt demnach nicht.
Dennoch, die Anforderungen hieran sind nicht hoch. Vor allem dürften Unternehmen es zukünftig schwerer haben, darzulegen und nachzuweisen, dass sie den DSGVO-Verstoß nicht hätten erkennen können. Deshalb sollten Unternehmen durch hinreichende Compliance-Maßnahmen sicherstellen, dass die datenschutzrechtlichen Vorgaben auch umgesetzt und eingehalten, folglich gelebt, werden.
von mehreren Autoren
Eine erste Analyse der EuGH-Urteile in den Verfahren Natsionalna agentsia za prihotide (C-340/21) und Gemeinde Ummendorf (C-456/22) vom 14. Dezember 2023.
von mehreren Autoren
von mehreren Autoren