Das Kammergericht (KG) Berlin hat dem EuGH zwei hoch umstrittene Fragen zur Haftung von Unternehmen und Leitungsorganen für DSGVO-Verstöße vorgelegt: Der EuGH soll darüber entscheiden, ob sich ein Bußgeldverfahren wegen DSGVO-Verstößen unmittelbar gegen ein Unternehmen richten kann oder – so ist das im deutschen Ordnungswidrigkeitenrecht eigentlich vorgesehen – das Verfahren zunächst gegen ein Leitungsorgan und dann als Annexgegen das Unternehmen geführt wird. Entscheidet der EuGH, dass Unternehmen unmittelbar Betroffene („Angeklagte“) eines Bußgeldverfahrens sein können, fragt das Kammergericht weiter, ob für eine Haftung ein bloßer Verstoß ausreicht oder ob das Unternehmen auch schuldhaft gehandelt haben muss. Die Entscheidung wird enorme Auswirkungen auf die interne Compliance und datenschutzrechtliche Risikovorsorge haben. Vor allem deswegen, weil sich hiernach entscheiden wird, welche Fälle überhaupt bußgeldrelevant sind und was die Unternehmensführung überhaupt tun kann, um Bußgelder zu vermeiden oder ob es in Zukunft nur darum geht, deren potenzielle Höhe zu begrenzen.
Im Oktober 2019 wurde ein Bußgelbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Darin wurde die Deutsche Wohnen SE mehrerer Datenschutzverstöße beschuldigt. Aufgrund „gravierender Mängel“ in dem Bescheid hob das LG Berlin diesen in einem Beschluss vom 18.02.2021 auf und stellte das Verfahren ein. Im März 2021 haben wir in unserem Newsletter ausführlich über diesen Beschluss berichtet. Gegen die Entscheidung des LG Berlin ging die Staatsanwaltschaft vor, sodass das Kammergericht Berlin als nächsthöhere Instanz mit dem Fall befasst wurde. Dieses hat den Fall Ende letzten Jahres dem EuGH vorgelegt und diesen mit der Beantwortung zweier Fragen beauftragt (Beschluss vom 06.12.2021 – 3 Ws 250/21).
Unmittelbare Haftung von Unternehmen für DSGVO-Verstöße?
Es geht um die Frage, ob ein Unternehmen Adressat eine Bußgelbescheides sein kann, ohne dass es dabei auf das konkrete Fehlverhalten seiner Leistungspersonen ankäme. Das ist im deutschen Recht so eigentlich nicht vorgesehen, hier gibt es kein „Unternehmens-Ordnungswidrigkeitenrecht“. Nach deutschem Recht bedarf es stets einer Handlung eines Menschen, um eine Ordnungswidrigkeit zu begehen. Das Unternehmen, für das die natürliche Person gehandelt hat, haftet dann als Annex, also nicht ohne die zuvor festgestellte Ordnungswidrigkeit der Leistungsperson..
Die DSGVO sieht dagegen in Art. 83 vor, dass „ein Verantwortlicher“ für Verstöße haftet. Verantwortlich kann auch (und ist in der Regel) ein Unternehmen sein. Außerdem genießt die DSGVO als europarechtliche Verordnung grundsätzlich Vorrang vor mitgliedstaatlichem Recht, wobei allerdings umstritten ist, wie weit dieser Vorrang im Einzelfall und insbesondere im Fall von Bußgeldverfahren geht, deren konkrete Verfahrensregeln die DSGVO nicht vorsieht. Bei diesen ist hochumstritten, ob sich das nationale Recht durchsetzt und daher eine natürliche Person Betroffene eines Verfahrens sein muss oder ob auch ein Unternehmen selbst Betroffener sein kann. Mit dieser Frage ist nunmehr der EuGH befasst. Der Ausgang ist hier – soweit erkennbar – völlig offen. Das Kammergericht Berlin scheint mit einer unmittelbaren Haftung der Unternehmen zu sympathisieren, wenn man als Kriterium dafür gelten lässt, dass Argumente für diese Position erheblich mehr Raum in dem Vorlagebeschluss einnehmen als Gegenargumente. Urteilt der EuGH entsprechend, würde das auf den ersten Blick die Leitungsorgane von Unternehmen begünstigen, die dann nicht mehr Betroffene eines Bußgeldverfahrens werden könnten. Gleichzeitig muss man damit rechnen, dass in diesem Fall die potenziell bebußbaren Datenschutzverstöße massiv zunehmen, weil es nicht mehr auf das Fehlverhalten einzelner Personen ankommt, sondern auf den objektiven Verstoß im Unternehmen (dazu gleich). Und dafür haften Geschäftsführer und Vorstände wiederum zivilrechtlich und persönlich.
Haftung von Unternehmen nur für schuldhafte Verstöße?
Außerdem müsste der EuGH sich einer weiteren Auslegungsfrage stellen, die das KG Berlin für den Fall gestellt hat, dass Unternehmen unmittelbar Betroffene in einem Bußgeldverfahren sein können: ist schuldhaftes Verhalten des Unternehmens erforderlich oder haftet das Unternehmen für jeden objektiv vorliegenden Verstoß? Nach dem deutschen Ordnungswidrigkeitenrecht haften Unternehmen zwar für jeden Verstoß ihrer leitenden Angestellten oder Organe, aber ein Verstoß liegt immer nur vor, wenn die Organe vorsätzlich oder fahrlässig gehandelt haben. Daher haftet ein Unternehmen prinzipiell nur für schuldhafte Verstöße.
Nach der Konzeption der Bußgeldtatbestände der DSGVO bestehen allerdings keine Anhaltspunkte dafür, dass ein Verstoß schuldhaft sein muss. Eine entsprechende Entscheidung des EuGH wäre höchst überraschend. Davon scheint auch das Kammergericht auszugehen, das in dem Vorlagebeschluss eine Entscheidung des EuGH zitiert, nach der (allerdings im Kartellrecht) jeder objektiv vorliegende Verstoß ausreicht, um ein Bußgeld gegen ein Unternehmen zu verhängen. Aller Voraussicht nach ist ein Verschulden daher, wenn der EuGH entscheidet, dass ein Unternehmen unmittelbar Betroffener eines Bußgeldverfahrens sein kann, nicht Voraussetzung für die Verhängung einer Geldbuße. Auch ein noch so sorgfältig handelndes Unternehmen könnte dann im Falle eines Verstoßes seine Sorgfalt nur noch bei der Entscheidung zur Höhe des Bußgeldes, nicht aber zum „ob“, anführen.
Praxis
Die Entscheidung des EuGH wird die unternehmensinterne Compliance maßgeblich beeinflussen. Entscheidet der EuGH, dass für ein Unternehmensbußgeld kein Fehlverhalten einer Leistungsperson notwendig ist, wächst die potenzielle Zahl von Bußgeldfällen im Unternehmen drastisch. Nun kann auch jedes Fehlverhalten auf der Arbeitsebene relevant sein, auch wenn kein Organisationsverschulden vorliegt. Wenn zudem noch kein Verschulden notwendig ist, summieren sich die potenziellen Fälle noch weiter auf. Unternehmen können demnach nur versuchen, möglichst intensiv zu schulen und zu sensibilisieren. Bußgeldfälle kann man gleichwohl durch gute Comliance verhüten, indem man den Behörden aufzeigt, alles Erforderliche getan zu haben, sodass die Behörde schon kein Verfahren einleitet oder zumindest das Bußgeld niedrig ansetzt. Bei alldem ist es also auch in Irrglaube, dass eine fehlende Mangerhaftung hier für Entlastung der Leitungspersonen führt: Wegen der potenziell höheren Zahl der Fälle bleibt gleichwohl das Risiko der zivilrechtlichen Regresshaftung gegenüber dem Unternehmen.