WISSENSWERTES | 13.12.2023

Geldbußen nach DSGVO – Weitere Vorgaben des EuGH

 

Im Mai dieses Jahres hat der Europäische Gerichtshof (EuGH) die drei Voraussetzungen für einen Schadensersatzanspruch des von einem Datenschutz­verstoß Betroffenen nach Art. 82 DSGVO herausgearbeitet. Darüber hatten wir seinerzeit hier berichtet.

 

Bußgeldfestsetzung gegen juristische Personen?

 

In einer aktuellen Entscheidung vom 5. Dezember 2023 (C-807/21), ging es nun um die andere Variante möglicher Sanktionen – Geldbußen der Datenschutzaufsichts­behörden.

 

Anlass war die Festsetzung einer Geldbuße durch die Berliner Datenschutz­beauftragte von mehr als 14 Mio. Euro gegen den inzwischen zu Vonovia gehörenden Immobilienkonzern Deutsche Wohnen wegen fehlender Maßnahmen zur regelmäßigen Löschung personenbezogener Mieterdaten. Auf den Einspruch des Unternehmens hin hatte das Landgericht Berlin das Bußgeldverfahren kurzerhand eingestellt. Nach Anfechtung dieser Entscheidung durch die Staatsanwaltschaft Berlin hat das Kammergericht sodann dem EuGH die Fragen vorgelegt,
 
• ob die Vorschriften der DSGVO – konkret Art. 83 Abs. 4 – 6 DSGVO
der deutschen Regelung in § 30 OWiG entgegenstehen,
nach der für die Verhängung eines Bußgeldes gegen eine juristische Person die Feststellung einer durch eine natürliche Person begangenen
Ordnungswidrigkeit erforderlich ist und
• wenn dem so ist, zusätzlich noch ein Verschulden erforderlich ist.

 

Rechtswissenschaft, Praxis und vor allem potentiell haftende Unternehmen haben die jüngste Entscheidung des EuGH dazu mit Spannung erwartet.

 

Im Ergebnis: Haftung ja, aber …

 

Zur ersten Vorlagefrage fiel die Antwort eher ernüchternd aus: Der EuGH bekräftigt mehrfach, dass die materiellen Voraussetzungen für die Verhängung einer Geld­buße allein durch die DSGVO bestimmt werden. Im Anschluss befasst er sich – den üblichen juristischen Auslegungsregelungen entsprechend – zunächst mit dem Wortlaut und danach mit Sinn und Zweck der Regelung in Art. 83 DSGVO.

 

Unter Verweis auf Art. 4 Nr. 7 DSGVO, der den datenschutzrechtlich „Verantwortlichen“ definiert, sieht der EuGH keinen Grund für eine Differenzierung zwischen natürlichen und juristischen Personen – denn auch Letztere können danach Verantwortliche im Sinne des Datenschutzrechts sein.

 

Daraus schlussfolgert das Gericht schnell, dass Geldbußen nach Art. 83 DSGVO auch unmittelbar gegen juristische Personen verhängt werden können, wenn diese im Sinne von Art. 4 Nr. 7 DSGVO verantwortlich sind. Der EuGH stellt fest, dass insoweit kein Ermessensspielraum der Mitgliedstaaten besteht. Dieses Ergebnis bekräftigt der EuGH durch eine Betrachtung der DSGVO-Zwecke und nennt hier insbesondere die gleichmäßige und einheitliche Anwendung von Sanktionen sowie die wirksame Abschreckung. Dem im Erwägungsgrund 150 der DSGVO enthaltenen Verweis auf Art. 101 und 102 AEUV und den dortigen Begriff des „Unternehmens“ spricht der EuGH eine Bedeutung für das „Ob“ der Haftung einer juristischen Person ab; Relevanz habe dieser ausschließlich für die Berechnung und damit die Höhe der Geldbuße.

 

Im Ergebnis heißt das, dass – auch in Deutschland – eine Geldbuße wegen eines in Art. 83 Abs. 4 – 6 DSGVO genannten Datenschutzverstoßes auch dann gegen eine juristische Person als Verantwortliche verhängt werden kann, wenn dieser Verstoß keiner zu identifizierenden natürlichen Personen zugerechnet wird.

 

… nur bei Verschulden

 

Eine gewisse Relativierung ergibt sich allerdings aus der Beantwortung der zweiten Vorlagefrage: Dabei ging es darum, ob ein Verschulden im Sinne von Vorsatz oder Fahrlässigkeit Voraussetzung einer Geldbuße ist.

 

Auch hier betont der EuGH zunächst das Fehlen jeglichen Ermessensspielraums der Mitgliedsstaaten, ehe er auf den Wortlaut von Art. 83 Abs. 2 b) DSGVO verweist. Danach gehört „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ zu den zwingenden Voraussetzungen einer Geldbuße. Dass es keine Möglichkeit gibt, Geldbußen gegen den Verantwortlichen unabhängig von dessen Verschulden zu verhängen, stellt der EuGH sodann auch hier wieder durch Rückgriff auf Systematik und Zweck der DSGVO näher dar.

 

Wann liegt Verschulden vor?

 

Noch etwas unklar und durch die nationalen Gerichte zu beurteilen ist die Frage, wann ein Verschulden des Verantwortlichen anzunehmen ist. Dafür erteilt der EuGH in den Randnummern 76 und 77 seines Urteils zwei konkrete Hinweise:

 

Zum einen verweist das Gericht darauf, dass ein Verantwortlicher für ein nach der DSGVO verbotenes Verhalten schon dann sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Das bedeutet, dass ein „Wissenmüssen“ für die Bejahung von Fahrlässigkeit schon genügen kann.

 

Zum anderen stellt der EuGH klar, dass die Anwendung von Art. 83 DSGVO „keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ der verantwortlichen juristischen Person verlangt.

 

Fazit

 

Den Widerspruch, dass einerseits juristische Personen auch ohne Rückgriff auf einen identifizierten Täter aus ihrem Verantwortungsbereich mit einer Geldbuße wegen Datenschutzverstößen belegt werden können, andererseits aber ein bloßer Pflichtverstoß nicht ausreichen soll, sondern Verschulden erforderlich ist, wird durch die nationalen Aufsichtsbehörden bzw. Gerichte noch aufzulösen sein. Dabei dürfte die Bandbreite des Vertretbaren zur Frage des Verschuldens trotz Hinweisen des EuGH groß und am Ende praktisch entscheidend sein.

 

Es ist daher zu empfehlen, die nach fünf Jahren Geltung der DSGVO in den Unternehmen hoffentlich etablierten Prozesse zur Vermeidung von Datenschutzverstößen noch einmal kritisch auf den Prüfstand zu stellen und das auch zu dokumentieren.

 

Wir werden über weitere Entwicklungen berichten.


Current articles of Daniel Heymann

NEWS | 13.12.2023

Geldbußen nach DSGVO – Weitere Vorgaben des EuGH

Im Mai dieses Jahres hat der Europäische Gerichtshof (EuGH) die drei Voraussetzungen für einen Schadensersatzanspruch des von einem Datenschutz­verstoß Betroffenen nach Art. 82 DSGVO herausgearbeitet. Darüber hatten wir seinerzeit hier berichtet.   Bußgeldfestsetzung gegen juristische Personen?   In eine...

NEWS | 17.05.2023

DSGVO – Neues zu Schadensersatz und Unterlassung bei Datenschutzverstößen

Von Unternehmen und im Datenschutz tätigen Juristen lang erwartet, hat der Europäische Gerichtshof (EuGH) am 4. Mai 2023 über grundsätzliche Fragen zum Anspruch auf Schadensersatz aus Art. 82 DSGVO entschieden. In Vorabentscheidungsverfahren C-300/21 zur Date...