Wir berichteten bereits zu dem Schlussantrag des Generalanwalts Manuel Campos Sánchez-Bardona im April diesen Jahres. Nun entschied der EuGH in der Rechtssache C-807/21 (Deutsche Wohnen SE gegen die Staatsanwaltschaft Berlin).
Auch das Gericht stellt in seinem Urteil fest, dass ein Unternehmen unmittelbar Adressat eines Bußgeldbescheides sein kann, ohne dass dieser Verstoß einer konkreten natürlichen Person zugerechnet werden müsse und dass es bei einem Verstoß eines schuldhaften Verhaltens – also Vorsatz oder Fahrlässigkeit – bedarf.
Hintergrund war, dass die Datenschutzbehörde Berlin wegen angeblicher Datenschutzverstöße Geldbußen in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE verhängt hatte. Inhaltlich ging es hierbei um die Speicherung und insbesondere die nicht erfolgte Löschung von Mieter:innendaten (zum Hintergrund). Das europäische Gericht äußerte sich am 05.12.2023 nun zu den beiden Vorlagefragen des Kammergerichts Berlin.
Mit dessen erster Frage wollte das Berliner Gericht geklärt wissen, ob Geldbußen nach der DSGVO direkt gegen rechtswidrig agierende Unternehmen verhängt werden können.
Der EuGH stellt hier fest, dass sich die Grundsätze, Verbote und Pflichten der DSGVO an die „Verantwortlichen“ richte. Ihre Verantwortung und Haftung erstreckt sich nach dem 74. Erwägungsgrund der DSGVO auf jede Datenverarbeitung, die durch oder im Namen der jeweiligen Verantwortlichen erfolgt. Hierzu muss der Verantwortliche geeignete und wirksame Maßnahmen treffen und nachweisen, dass die durchgeführten Verarbeitungen im Einklang mit der DSGVO stehen.
Der Gerichtshof verweist auf den weiten Begriff des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO, der sich sowohl auf natürliche als auch auf juristische Personen bezieht. Das Gericht schlussfolgert, dass der Unionsgesetzgeber bei der Bestimmung der DSGVO-Haftung nicht zwischen natürlichen und juristischen Personen unterschieden hat, da einzige Voraussetzung für eine Haftung ist, dass die „Person“ allein oder zusammen mit anderen über die Zwecke und die Mittel der Datenverarbeitung entscheidet. Bezogen auf juristische Personen wird in dem Urteil – übereinstimmend mit den Schlussanträgen des Generalanwalts – dazu ausgeführt, dass diese nicht nur für Verstöße ihrer Vertreter, Leiter oder Geschäftsführer haften, sondern auch für diejenigen jeder anderer Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelt.
Es existiere keine Bestimmung in der DSGVO, welche die Verhängung einer Geldbuße gegen eine juristische Person davon abhängig machen würde, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde. Derartiges kann mithin auch nicht von den Mitgliedsstaaten geregelt werden insbesondere unter Berücksichtigung des Ziels der Verordnung, ein unionsweit gleiches Datenschutzniveau sicherzustellen.
Obiter dictum führt der Gerichtshof zudem dazu aus, dass unter dem Begriff des „Unternehmens“, der für die Höhe der Geldbuße nach Art. 83 Abs. 4 bis 6 DSGVO maßgeblich ist, der weite Begriff der Art. 101 und 102 AEUV zu verstehen ist. Als Argument wird hierzu auf die Verweisung in Erwägungsgrund 150 der DSGVO abgestellt. Mithin ist als „Unternehmen“ für die Berechnung der Geldbuße die, die wirtschaftliche Tätigkeit ausübende Einheit heranzuziehen, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung und selbst wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht.
Die zweite Vorlagefrage ging dahin, ob ein Unternehmen den von einem Mitarbeitenden verschuldeten Verstoß schuldhaft begangen haben muss oder ob für eine Sanktionierung bereits eine zurechenbare objektive Pflichtverletzung ausreicht.
Nachdem die deutsche, estnische und norwegische Regierung einen Ermessensspielraum der Mitgliedsstaaten diesbezüglich sahen, stellte der EuGH nun klar, dass für die materiellen Voraussetzungen von Geldbußen ausschließlich das Unionsrecht gilt. Dieses sieht in Art. 83 Abs. 2 DSGVO die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ vor. Hingegen deute keines der in Absatz 2 genannten Kriterien darauf hin, dass ein Verantwortlicher ohne den Nachweis seines Verschuldens haftbar gemacht werden dürfe. Dies ergebe sich auch daraus, dass der Absatz 2 in Verbindung mit Absatz 3 zu lesen sei, welcher einen schuldhaften Verstoß voraussetzt.
Auch das Ziel der DSGVO laufe einer gegenteiligen Wertung zuwider. Zur Sicherstellung einer einheitlichen Anwendung der DSGVO müssten die Aufsichtsbehörden der Mitgliedsstaaten über dieselben Befugnisse verfügen.
Geldbußen schaffen, so der EuGH, zudem durch ihre abschreckende Wirkung einen Anreiz von Verantwortlichen und Auftragsverarbeitern, der DSGVO nachzukommen, sodass ein hohes Schutzniveau für natürliche Personen gewährleistet ist. Dem liefe es zuwider, wenn den Mitgliedsstaaten gestattet wäre, eine Regelung zur Verhängung einer verschuldensunabhängigen Geldbuße vorzusehen. Dies würde zudem zu einer Wahlfreiheit führen, die den Wettbewerb zwischen den Wirtschaftsteilnehmern verfälschen und so den in den Erwägungsgründen 9 und 13 der DSGVO dargestellten Zielen zuwiderlaufen würde.
Das Gericht stellt mit seinem Urteil zudem klar, dass ein Verstoß geahndet werden kann, wenn sich der Verantwortlich über die Rechtswidrigkeit seines Verhaltens „nicht im Unklaren sein konnte“, unabhängig davon, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt. Bezogen auf juristische Personen als Verantwortliche stellt das Gericht weiter fest, dass die Verhängung von Geldbußen nicht davon abhängig ist, dass ein Leitungsorgan selbst handelt oder Kenntnis von dem Verstoß hat.
Fazit:
Zwar wird der „strict liability“-Grundsatz durch die Aufsichtsbehörden künftig nicht mehr vertreten werden können. Jedoch werden die Verschuldenshürden nach dem vorliegenden Urteil zur Verhängung von Geldbußen keinesfalls unüberwindbar sein, sodass dieser Umstand nicht dazu führen sollte, sich als Unternehmen in Sicherheit zu wiegen. Dies gilt umso mehr durch die Klarstellung des Gerichtshofs, dass es nicht erforderlich ist, den Verstoß vor Verhängung eines Bußgeldes einer identifizierten natürlichen Person zuzurechnen.
Da der EuGH bestätigt, dass in Bezug auf die Berechnung von Geldbußen der weite Unternehmensbegriff der Art. 101 und 102 AEUV zugrunde zu legen ist, welcher unabhängig von rechtlicher Selbstständigkeit ist, steigt das unternehmerische Risiko im Zusammenhang mit Datenschutzverstößen massiv. – Der Höchstbetrag der Geldbuße für den Verstoß einer Tochtergesellschaft kann sich demnach beispielsweise auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes der Muttergesellschaft errechnen.
Insbesondere mit Blick auf Kontrolle und Überwachung von Mitarbeitenden hinsichtlich der Einhaltung datenschutzrechtlicher Vorschriften sollten Unternehmen weiterhin auf ein starkes Datenschutzmanagementsystem setzen, um im Fall der Fälle den Nachweis führen zu können, den DSGVO-Verstoß nicht hätten erkennen zu können. Durch entsprechende Maßnahmen sollte zudem sichergestellt werde, dass die datenschutzrechtlichen Vorgaben im Unternehmen umgesetzt und eingehalten werden.
Hierbei unterstützen wir Sie sehr gern. Sprechen Sie uns an!