Der Generalanwalt Manuel Campos Sánchez-Bordona des Europäischen Gerichtshofs hat sich in der Rechtssache Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin (Az. C‑807/21) zu grundlegenden Fragen hinsichtlich der Voraussetzungen für die Verhängung von Bußgeldern gegen Unternehmen geäußert (Schlussantrag vom 27.04.2023). Nach Auffassung des Generalanwalts können Unternehmen unmittelbare Adressaten von Geldbußen sein, eine Sanktionierung setze aber schuldhaftes Handeln voraus.
Im Oktober 2019 hatte die Berliner Datenschutzbehörde (BlnBDI) wegen angeblicher Datenschutzverstöße gegen die Deutsche Wohnen eine Geldbuße in Höhe von 14,5 Millionen Euro verhängt. Bereits 2017 hatte die Berliner Beauftragte für Datenschutz nach einer Vor-Ort-Kontrolle das elektronische Archivsystem des Unternehmens beanstandet, bei welchem nicht nachvollzogen werden konnte, ob die Speicherung von MieterInnendaten erforderlich sei und ob ein Löschkonzept hierfür bestehe. In der Folge forderte die Datenschutzbehörde die Deutsche Wohnen dazu auf, die erforderlichen Löschungen vorzunehmen. Nachdem jedoch nach erneuter Prüfung der Behörde im Jahr 2020 im Unternehmen festgestellt wurde, dass diese Löschungen nicht erfolgt war, erließ die Datenschutzbehörde daraufhin einen Bußgeldbescheid gegen das Unternehmen. In ihrem Bescheid warf sie dem Immobilienkonzern nun vor, personenbezogene MieterInnendaten unrechtmäßig lange aufbewahrt und keine entsprechenden Löschungsmaßnahmen getroffen zu haben. Das Berliner Landgericht erklärte den Bescheid im Rahmen des Einspruchsverfahrens für unwirksam, weil das deutsche Ordnungswidrigkeitsrecht juristische Personen nur nach gesetzlichen „Rechtsträgerprinzip“ gemäß §§ 30, 130 OWiG, also unter Feststellung eines konkreten Fehlverhaltens eines Unternehmensverantwortlichen, sanktionieren könne. Ein solches habe die Behörde nicht nachgewiesen. Die Berliner Aufsichtsbehörde reichte daraufhin Beschwerde beim Kammergericht ein, welches das Verfahren aussetzte und dem EuGH zwei Fragen zur Vorabentscheidung vorlegte. Das deutsche Gericht will mit diesen geklärt wissen, ob Geldbußen nach der DSGVO direkt gegen rechtswidrig agierende Unternehmen verhängt werden können und ob ein Unternehmen den von einem Mitarbeitenden verschuldeten Verstoß schuldhaft begangen haben muss oder ob für eine Sanktionierung bereits eine zurechenbare objektive Pflichtverletzung ausreicht.
Der Generalanwalt hat in seinen Schlussanträgen nun die erste Frage dahingehend beantwortet, dass eine unmittelbare Haftung eines Unternehmens möglich sei. Dies folge aus der Definition des Verantwortlichen in der DSGVO. Unternehmen haben danach die Folgen von Datenschutzverstößen nicht nur für den Fall zu tragen, dass diese von Leitungsorganen begangen worden sind, sondern auch, wenn die Verstöße auf das Verhalten von Mitarbeitenden zurückzuführen sind. Hierin liege ein Schlüsselmechanismus der Wirksamkeit der Verordnung. Hierfür müsse der Verstoß eines Mitarbeitenden, der unter der Aufsicht der Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgehen, für den die Leitungsorgane unmittelbar verantwortlich sind. Ob der Generalanwalt in diesen Ausführungen eine Haftung für Organisationsverschulden oder eine allgemeine Zurechenbarkeit beschreibt, kann unterschiedlich gelesen werden. Für letztere Ansicht spricht insbesondere die englische Sprachfassung sowie eine europarechtliche Betrachtung, die den Unternehmensbegriff als „wirtschaftliche Einheit“ versteht.
In der englischen Version heißt es
„Finally, imputability ultimately leads to the legal person itself, since an infringement committed by an employee acting under the authority of its managing bodies is a failure in the control and supervision system, for which those managing bodies are directly responsible.”,
während die deutsche Fassung das Wort “soweit” verwendet, obgleich „since“ in diesem Zusammenhang auch mit „da“ oder „weil“ übersetzt werden kann:
„Letzten Endes führt die Zurechenbarkeit zu der juristischen Person selbst, soweit der Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind.“
Auf die zweite Vorlagefrage führt der Generalanwalt im Sinne einer einheitlichen und kohärenten Lösung in allen Mitgliedsstaaten aus, dass Verwaltungsgeldbußen voraussetzen, dass festgestellt wird, dass der geahndete Verstoß vorsätzlich oder fahrlässig war. Bei der Übernahme dogmatischer Kategorien des Strafrechts in das Verwaltungssanktionsrecht ergäben sich jedoch Auslegungsschwierigkeiten. So ließen sich unter die Variante der Fahrlässigkeit Fälle der bloßen Nichtbeachtung einer Rechtsvorschrift fassen, wenn der Handelnde wissen musste, welches Handeln von ihm verlangt wird.
Fazit:
Der EuGH ist nicht an die Schlussanträge des Generalanwalts gebunden, folgt dessen Rechtsauffassung indes oftmals. Sollte dies auch vorliegend der Fall sein, so wird dies für die Praxis einen Umschwung bedeuten. Hatten bisher einige Datenschutzbehörden in Deutschland die Ansicht vertreten, dass Geldbußen gegen Unternehmen wegen möglicher Datenschutzverstöße unabhängig von einem nachgewiesenen Verschulden verhängt werden können, so wird dieser „strict liability“-Grundsatz künftig nicht mehr angenommen werden können.
Dies wird der Praxis jedoch kein Anlass sein dürfen, den Datenschutz im Unternehmen weniger ernst zu nehmen. Die Sichtweise des Generalanwalts in Hinblick auf das Verschulden vermittelt ein Verständnis der Verschuldensgrenzen, das die Abgrenzung zur Haftung für rein objektive Verstöße jedenfalls unscharf erscheinen lässt. Da in den meisten Fällen mit der oben aufgezeigten Sichtweise zumindest ein fahrlässiges Verschulden eines Beschäftigten anzunehmen sein wird, wird die Entwicklung die Unternehmen voraussichtlich keinesfalls entlasten. Das schuldhafte Verhalten wird die Aufsichtsbehörde nun lediglich nachweisen müssen. Insofern sollten Unternehmen – insbesondere im Hinblick auf mangelnde Kontrolle und Überwachung der Mitarbeitenden – (weiterhin) in den Datenschutz investieren und besonders auf Datenschutzkonzepte und -richtlinien setzen, um den Nachweis der ausreichenden Kontrolle und Überwachung führen zu können.
