WISSENSWERTES | 13.12.2023
Geldbußen nach DSGVO – Weitere Vorgaben des EuGH
Im Mai dieses Jahres hat der Europäische Gerichtshof (EuGH) die drei Voraussetzungen für einen Schadensersatzanspruch des von einem Datenschutzverstoß Betroffenen nach Art. 82 DSGVO herausgearbeitet. Darüber hatten wir seinerzeit hier berichtet.
Bußgeldfestsetzung gegen juristische Personen?
In einer aktuellen Entscheidung vom 5. Dezember 2023 (C-807/21), ging es nun um die andere Variante möglicher Sanktionen – Geldbußen der Datenschutzaufsichtsbehörden.
Anlass war die Festsetzung einer Geldbuße durch die Berliner Datenschutzbeauftragte von mehr als 14 Mio. Euro gegen den inzwischen zu Vonovia gehörenden Immobilienkonzern Deutsche Wohnen wegen fehlender Maßnahmen zur regelmäßigen Löschung personenbezogener Mieterdaten. Auf den Einspruch des Unternehmens hin hatte das Landgericht Berlin das Bußgeldverfahren kurzerhand eingestellt. Nach Anfechtung dieser Entscheidung durch die Staatsanwaltschaft Berlin hat das Kammergericht sodann dem EuGH die Fragen vorgelegt,
• ob die Vorschriften der DSGVO – konkret Art. 83 Abs. 4 – 6 DSGVO –
der deutschen Regelung in § 30 OWiG entgegenstehen,
nach der für die Verhängung eines Bußgeldes gegen eine juristische Person die Feststellung einer durch eine natürliche Person begangenen
Ordnungswidrigkeit erforderlich ist und
• wenn dem so ist, zusätzlich noch ein Verschulden erforderlich ist.
Rechtswissenschaft, Praxis und vor allem potentiell haftende Unternehmen haben die jüngste Entscheidung des EuGH dazu mit Spannung erwartet.
Im Ergebnis: Haftung ja, aber …
Zur ersten Vorlagefrage fiel die Antwort eher ernüchternd aus: Der EuGH bekräftigt mehrfach, dass die materiellen Voraussetzungen für die Verhängung einer Geldbuße allein durch die DSGVO bestimmt werden. Im Anschluss befasst er sich – den üblichen juristischen Auslegungsregelungen entsprechend – zunächst mit dem Wortlaut und danach mit Sinn und Zweck der Regelung in Art. 83 DSGVO.
Unter Verweis auf Art. 4 Nr. 7 DSGVO, der den datenschutzrechtlich „Verantwortlichen“ definiert, sieht der EuGH keinen Grund für eine Differenzierung zwischen natürlichen und juristischen Personen – denn auch Letztere können danach Verantwortliche im Sinne des Datenschutzrechts sein.
Daraus schlussfolgert das Gericht schnell, dass Geldbußen nach Art. 83 DSGVO auch unmittelbar gegen juristische Personen verhängt werden können, wenn diese im Sinne von Art. 4 Nr. 7 DSGVO verantwortlich sind. Der EuGH stellt fest, dass insoweit kein Ermessensspielraum der Mitgliedstaaten besteht. Dieses Ergebnis bekräftigt der EuGH durch eine Betrachtung der DSGVO-Zwecke und nennt hier insbesondere die gleichmäßige und einheitliche Anwendung von Sanktionen sowie die wirksame Abschreckung. Dem im Erwägungsgrund 150 der DSGVO enthaltenen Verweis auf Art. 101 und 102 AEUV und den dortigen Begriff des „Unternehmens“ spricht der EuGH eine Bedeutung für das „Ob“ der Haftung einer juristischen Person ab; Relevanz habe dieser ausschließlich für die Berechnung und damit die Höhe der Geldbuße.
Im Ergebnis heißt das, dass – auch in Deutschland – eine Geldbuße wegen eines in Art. 83 Abs. 4 – 6 DSGVO genannten Datenschutzverstoßes auch dann gegen eine juristische Person als Verantwortliche verhängt werden kann, wenn dieser Verstoß keiner zu identifizierenden natürlichen Personen zugerechnet wird.
… nur bei Verschulden
Eine gewisse Relativierung ergibt sich allerdings aus der Beantwortung der zweiten Vorlagefrage: Dabei ging es darum, ob ein Verschulden im Sinne von Vorsatz oder Fahrlässigkeit Voraussetzung einer Geldbuße ist.
Auch hier betont der EuGH zunächst das Fehlen jeglichen Ermessensspielraums der Mitgliedsstaaten, ehe er auf den Wortlaut von Art. 83 Abs. 2 b) DSGVO verweist. Danach gehört „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ zu den zwingenden Voraussetzungen einer Geldbuße. Dass es keine Möglichkeit gibt, Geldbußen gegen den Verantwortlichen unabhängig von dessen Verschulden zu verhängen, stellt der EuGH sodann auch hier wieder durch Rückgriff auf Systematik und Zweck der DSGVO näher dar.
Wann liegt Verschulden vor?
Noch etwas unklar und durch die nationalen Gerichte zu beurteilen ist die Frage, wann ein Verschulden des Verantwortlichen anzunehmen ist. Dafür erteilt der EuGH in den Randnummern 76 und 77 seines Urteils zwei konkrete Hinweise:
Zum einen verweist das Gericht darauf, dass ein Verantwortlicher für ein nach der DSGVO verbotenes Verhalten schon dann sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Das bedeutet, dass ein „Wissenmüssen“ für die Bejahung von Fahrlässigkeit schon genügen kann.
Zum anderen stellt der EuGH klar, dass die Anwendung von Art. 83 DSGVO „keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans“ der verantwortlichen juristischen Person verlangt.
Fazit
Den Widerspruch, dass einerseits juristische Personen auch ohne Rückgriff auf einen identifizierten Täter aus ihrem Verantwortungsbereich mit einer Geldbuße wegen Datenschutzverstößen belegt werden können, andererseits aber ein bloßer Pflichtverstoß nicht ausreichen soll, sondern Verschulden erforderlich ist, wird durch die nationalen Aufsichtsbehörden bzw. Gerichte noch aufzulösen sein. Dabei dürfte die Bandbreite des Vertretbaren zur Frage des Verschuldens trotz Hinweisen des EuGH groß und am Ende praktisch entscheidend sein.
Es ist daher zu empfehlen, die nach fünf Jahren Geltung der DSGVO in den Unternehmen hoffentlich etablierten Prozesse zur Vermeidung von Datenschutzverstößen noch einmal kritisch auf den Prüfstand zu stellen und das auch zu dokumentieren.
Wir werden über weitere Entwicklungen berichten.