Bußgelder wegen eines DSGVO-Verstoßes können den Unternehmen unmittelbar auferlegt werden, nicht nur den Leitungsorganen. Allerdings: Bußgelder setzen einen schuldhaften Verstoß gegen die DSGVO voraus. Gerade das Urteil in der Rechtssache Deutsche Wohnen war mit Spannung erwartet worden. Wo es Klärung bringt und wo neue Fragen, erläutern wir in unserem Beitrag.
Am 05.12.2023 entschied der EuGH in dem von vielen intensiv beobachteten Verfahren „Deutsche Wohnen“: Ein deutsches Vorabentscheidungsverfahren, in dem eines der frühen hohen Bußgelder (14,5 Mio. Euro) auf dem Prüfstand steht. Ein richtungsweisendes Verfahren für die künftige Bußgeldhaftung und damit auch die Anforderungen an das Datenschutzmanagement und die Aufstellung der Leitungsebene zur Vermeidung von Bußgeldern.
Der Fall
Die Immobiliengesellschaft Deutsche Wohnen verarbeitet personenbezogene Daten der Mieter von Wohn- und Gewerbeeinheiten. Im Sommer 2017 wies die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnDI) DW darauf hin, dass Mieterdaten gespeichert würden, für die nicht nachvollzogen werden könne, ob die Speicherung erforderlich sei und ob nicht mehr erforderliche Daten gelöscht würden.
Im März 2019 prüfte die BlnDI die DW erneut. DW teilte mit, dass das beanstandete Archivsystem bereits außer Betrieb gesetzt worden sei und die Migration der Daten auf ein neues Speichersystem unmittelbar bevorstehe. Die BlnDI sah aufgrund der Zeitverzögerungen und aus ihrer Sicht nach wie vor bestehenden Unzulänglichkeiten einen wegen den Hinweisen aus 2017 vorsätzlichen Verstoß gegen die DSGVO. Vorgeworfen wird DW eine zu lange Speicherung von personenbezogenen Daten, deren Verarbeitung nicht (mehr) erforderlich sein. Die Aufsichtsbehörde setzte eine Geldbuße in Höhe von ca. 14,5 Mio. Euro fest.
In ihrem Bußgeldbescheid rechnete die BlnDI den Verstoß keinem Leitungsorgan der DW zu und wies auch kein konkretes, individuelles Verschulden nach. Nach deutschem Ordnungswidrigkeitenrecht ist dies gem. § 30 OWiG indes grundsätzlich erforderlich. Ob dies indes auch für Bußgelder nach der DSGVO gilt, ist seit Inkrafttreten der DSGVO höchst umstritten (neben dem hier gegenständlichen Berliner Verfahren etwa auch im 1&1-Verfahren: LG Bonn, Urt. v. 11.11.2020 – 29 OWi 1/20).
Die EuGH-Entscheidung
Der EuGH hat nun entschieden: Die DSGVO geht dem deutschen Ordnungswidrigkeitenrecht vor (Rs. C-807/21). Für die Verhängung eines Bußgelds nach Art. 83 DSGVO ist es nicht erforderlich, eine natürliche Person aus dem Kreis der Leitungspersonen zu identifizieren, der der konkrete DSGVO-Verstoß zuzurechnen oder der ein konkretes Verschulden vorzuwerfen ist.
Aus der EuGH-Entscheidung ergeben sich damit drei zentrale Aussagen:
- Bußgelder können gegen Unternehmen verhängt werden, ohne dass der DSGVO-Verstoß einer konkreten (Leitungs-) Person zuzurechnen ist.
- Bußgelder setzen Verschulden voraus. Unklar bleibt aber, auf wessen Verschulden es ankommt und wie dieses nachzuweisen ist. Der EuGH verlangt nur ein Verschulden des „Verantwortlichen“, also letztlich des Unternehmens selbst (?).
- Bußgelder werden anhand der Umsätze der gesamten Unternehmensgruppe ermittelt, konkret der aus dem Kartellrecht bekannten „wirtschaftlich tätigen Einheit“. Damit kommt es regelmäßig auf die Umsätze aller verbundenen Unternehmen an.
Im Einzelnen:
Bußgelder gegen Unternehmen
Die Durchsetzung der DSGVO darf durch nationales Recht nicht beschränkt werden. Der EuGH erteilt daher zusätzlichen Anforderungen an die Verhängung von Bußgeldern, die sich aus dem deutschen Ordnungswidrigkeitenrecht ergeben könnten, eine Absage.
Die DSGVO unterscheide in ihrem Bußgeldregime nicht zwischen natürlichen und juristischen Personen. Ein Bußgeld werde gegen „den Verantwortlichen“, also die datenverarbeitende Stelle verhängt. In der Regel ist das das Unternehmen selbst.
Daraus folgt, dass die Daten verarbeitenden Unternehmen nicht nur für Verstöße haften, die von ihren Leitungsorganen begangen werden. Sie haften für alle Verstöße, die von irgendeiner Person begangen werden, „die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (Rn. 44). Damit genügt für die Haftung der DSGVO-Verstoß eines jeden Mitarbeitenden, ungeachtet des jeweiligen Aufgaben- und Verantwortungsbereiches. Mehr noch: Die Person, die den Verstoß gegangen hat, muss nicht identifiziert werden (Rn. 46).
Zu diskutieren wird nun sein, inwiefern eine Haftung auch dann in Betracht kommt, wenn Mitarbeitende außerhalb des vorgegebenen Rahmens agieren. Im Fall eines „echten Exzesses“ wird es letztlich wohl nur dann zu einer Haftung kommen können, wenn die Compliance-Struktur unzureichend war und damit ein Organisationsverschulden im Raum steht.
Bußgelder nur bei Verschulden
Begrenzend gilt aber auch weiterhin, dass Bußgelder ein Verschulden voraussetzen. Sie können also nur dann auferlegt werden, wenn der DSGVO-Verstoß vorsätzlich oder fahrlässig begangen wurde.
Ob ein Verhalten derart vorwerfbar ist, kann nach deutscher Rechtstradition regelmäßig nur mit Blick auf das Verhalten konkreter natürlicher Personen bewertet werden: Gab es die „Absicht“, gegen die DSGVO zu verstoßen, wurde der Verstoß zumindest billigend in Kauf genommen oder haben die handelnden Personen die im Verkehr erforderliche Sorgfalt außer Acht gelassen?
Dieser Ansatz passt aber nicht zu dem vom EuGH angenommenen Vorgehen: Für ein DSGVO-Bußgeld ist es nicht erforderlich, einen Datenschutzverstoß einer identifizierten Person zuzurechnen, so dass es womöglich auch nicht auf das Verschulden einer einzelnen Person ankommen kann.
Die EuGH-Entscheidung ist an diesem Punkt vage:
„Aus dem Wortlaut von Art. 83 Abs. 2 DSGVO ergibt sich somit, dass nur Verstöße gegen die Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d. h. vorsätzlich oder fahrlässig, begeht, zur Verhängung einer Geldbuße gegen ihn nach diesem Artikel führen können.“ (Rn. 68)
Der „Verantwortliche“ ist, wie oben erläutert, das Unternehmen. Diesem muss also ein Verschulden vorgeworfen werden. Wie das in Einklang zu bringen ist mit der EuGH-Aussage, dass ein DSGVO-Verstoß keiner identifizierten Person zugerechnet werden muss, bleibt offen. Wie genau dieser Maßstab in der Anwendungspraxis nun umgesetzt wird, muss nun konkretisiert werden. Sicher ist: Ohne Verschulden darf es kein Bußgeld geben.
Dieses Verschulden muss von der Datenschutzaufsichtsbehörde nachgewiesen werden (Rn. 75). Allerdings ist es dafür ausreichend, „wenn er [der Verantwortliche] sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“ (Rn. 76). Dies öffnet dem Ansatz über ein Organisationsverschulden – also dem Vorwurf, dass eine unzureichende Datenschutzorganisation im Unternehmen den Verstoß „ermöglicht“ hat – Tür und Tor. Hier gibt es noch viel zu diskutieren; einiges spricht allerdings schon nach den ersten Analysen der Entscheidung dafür, dass das Bußgeldrisiko damit steigt.
Umsätze der gesamten Unternehmensgruppe
Schließlich hat der EuGH die Befürchtungen bestätigt, dass der für die Bußgeldbemessung relevante Umsatz anhand der gesamten Gruppenumsätze zu berechnen ist: Erwägungsgrund 150 verweist auf das aus dem Kartellrecht bekannte Prinzip, auf die wirtschaftliche Einheit abzustellen. Dies gilt nun bestätigt auch für die DSGVO: Für die Bußgeldbemessung sind die Umsätze von allen verbundenen Unternehmen, also in der Regel dem „Konzern“ bzw. der „Gruppe“, zusammen zu rechnen (Rn. 53 ff.).
Ausblick: Datenschutz-Compliance
Bußgeldrisiken können nach der EuGH-Entscheidung vor allem durch ein effektives Datenschutz-Compliancemanagement vermieden werden. Hierauf sollten Unternehmen ein verstärktes Augenmerk legen.
Welche Bedeutung der EuGH-Entscheidung für die Unternehmenspraxis im Einzelnen zukommen, diskutieren wir mit Ihnen im Rahmen unseres Lunch@Loschelder-Webinars am 24.01.2024. Wir freuen uns über Ihre Anmeldung unter webinare@loschelder.de (Teilnahme kostenfrei, weitere Informationen auch zeitnah hier).