Newsletter Data, IT, and media

Die Entscheidung auf einen Blick

Nur ein schuldhafter Verstoß gegen die DS‑​GVO führt zur Verhängung einer Geldbuße. Der EuGH hat damit eine von deutschen Aufsichtsbehörden geforderte, verschuldensunabhängige Haftung („strict liability“) im Datenschutzrecht abgelehnt. Gleichwohl ist es nicht erforderlich, dass der Verstoß von einem Leitungsorgan des Unternehmens begangen wurde oder dieses Organ Kenntnis vom Verstoß hatte. Es soll vielmehr ausreichen, dass Angestellte im Namen des Unternehmens und im Rahmen der unternehmerischen Tätigkeit handeln. Einer eindeutigen Identifizierung dieser Personen bedarf es nicht, um eine Geldbuße zu verhängen.

Hintergrund des Rechtsstreits

Zur Frage, unter welchen Voraussetzungen datenschutzrechtliche Bußgelder gegen Unternehmen und Konzerne verhängt werden können, stehen sich seit jeher zwei Ansätze gegenüber: Das deutsche Ordnungswidrigkeitenrecht enthält in §§ 30, 130 OWiG das Rechtsträgerprinzip. Der Grundgedanke ist, dass Unternehmen ausschließlich durch ihre Organe handeln. Folglich setzen Sanktionen gegen Unternehmen regelmäßig ein schuldhaftes (d. h. persönlich vorwerfbares) Verhalten ihrer Leitungspersonen voraus, zumindest in Gestalt einer Aufsichtspflichtverletzung. Demgegenüber steht das bisher insbesondere vom Landgericht Bonn angewandte Funktionsträgerprinzip. Danach ist ein objektiver Verstoß (irgend‑)eines Mitarbeiters für ein Bußgeld gegen ein Unternehmen ausreichend. Noch weitergehend hat sich die Datenschutzkonferenz (DSK) anlässlich des Verfahrens positioniert. Ihr zufolge soll für eine Bebußung nach Art. 83 Abs. 4 bis 6 DS‑​GVO im Grundsatz bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreichen – unabhängig davon, ob dieser vorsätzlich bzw. fahrlässig von einer identifizierten Person begangen wurde („strict liability“).

Ausgangslage

Im Verfahren „Deutsche Wohnen“ hatte die Berliner Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von über 14 Mio. Euro verhängt. Das Landgericht (LG) Berlin stellte das Verfahren mit Verweis auf gravierende Mängel ein. Geldbußen gegen Unternehmen – auch solche aufgrund der DS‑​GVO – seien in § 30 OWiG abschließend geregelt, sodass stets eine konkrete Ordnungswidrigkeit einer bestimmten natürlichen Leitungsperson vorliegen müsse.

Auf die Beschwerde der zuständigen Staatsanwaltschaft Berlin wurde das Kammergericht (KG) Berlin tätig. Es legte seinen Erwägungen die Annahme zugrunde, dass § 30 OWiG und das zugrundeliegende Rechtsträgerprinzip dazu führe, dass ein Bußgeldverfahren gegen ein Unternehmen eine Ordnungswidrigkeit durch eine identifizierte, natürliche Person voraussetzt und somit ggf. gegen die DS‑​GVO verstößt. Die Bundesregierung hatte dieser Annahme des KG im Verfahren widersprochen. Bereits das geltende deutsche Recht (vgl. § 130 OWiG) ermögliche Geldbußen unmittelbar gegen juristische Personen auch außerhalb der in § 30 OWiG erfassten Fälle.

Auslegung des EuGH

Nach den Vorlagefragen des KG zur Auslegung des Art. 83 Abs. 4 bis 6 DS‑​GVO stellt der EuGH nunmehr klar, dass die DS‑​GVO die materiellen Anforderungen an die Bußgeldhaftung von Unternehmen abschließend regelt. Ein Spielraum für mitgliedstaatliche Abweichungen bestehe nicht. Insbesondere dürfe keine nationale Regelung Bußgelder für Unternehmen an die Anforderung knüpfen, dass ein Verstoß einer identifizierten natürlichen Person zugerechnet wird. Ein Verstoß gegen die DS‑​GVO müsse allerdings grundsätzlich vorsätzlich oder fahrlässig begangen worden sein; ein rein objektiver Pflichtverstoß reicht nicht aus. Auf eine Handlung oder Kenntnis der Leitungsorgane kommt es jedoch nicht zwingend an.

Hinweise für die Praxis

Bemerkenswerterweise reklamieren sowohl die Berliner Aufsichtsbehörde als auch die Prozessvertreter des bebußten Unternehmens die Entscheidung als Erfolg. Nicht alle Fragen im Zusammenhang mit Bußgeldern für Unternehmen sind insoweit geklärt. Für die Praxis bedeutet das Urteil Folgendes:

• Die Hürden für Behörden, DS‑​GVO‑​Bußgelder zu verhängen, sinken. Ein vorwerfbares Verhalten der Leitungspersonen, etwa in Gestalt einer Verletzung der Aufsichtspflichten, ist nicht erforderlich. Auch muss die Person, die den Verstoß verursacht hat, nicht identifiziert werden.
• Voraussetzung einer Haftung ist, dass der Verstoß von einer Person begangen wurde, die „im Rahmen der unternehmerischen Tätigkeit und im Namen“ des Unternehmens gehandelt hat. Es reicht aus, wenn dem Unternehmen dabei als Verantwortlichem klar sein musste, dass das fragliche Verhalten rechtswidrig war. Demnach dürfte es auf Verstöße von Angestellten ankommen, die das Unternehmen auch rechtsgeschäftlich vertreten. Insoweit verbleibt jedoch eine erhebliche Unschärfe, die die Rechtspraxis zukünftig beschäftigen wird.
• Das deutsche OWiG bleibt anwendbar, insbesondere mit Blick auf Verfahrensregelungen. So muss etwa ein Bußgeldbescheid weiterhin die nötigen Feststellungen zum Tatvorwurf beinhalten (§ 66 Abs. 1 Nr. 3 OWiG). Ein bloßer Verweis auf einen objektiven Pflichtverstoß reicht nicht aus.
• Wie im Parallelverfahren vom EuGH klargestellt, haftet der Verantwortliche auch für das Handeln seiner Auftragsverarbeiter – also aller Dienstleister, die für Datenverarbeitungen eingesetzt werden – umfänglich. Ausnahmen kommen nur in Betracht, wenn der Auftragsverarbeiter für eigene Zwecke handelt.

Das erhöhte Bußgeldrisiko sollten Unternehmen zum Anlass nehmen, ihre Datenschutz‑​Compliance zu überprüfen, insbesondere deren Wirksamkeit bis hin zur untersten Arbeitsebene. Im Falle von Bußgeldverfahren sollte frühzeitig qualifizierter Rechtsrat eingeholt werden, damit eine Verteidigung sowohl im aufsichtsbehördlichen als auch in einem sich anschließenden gerichtlichen Verfahren sorgfältig vorbereitet werden kann.

Die Urteile sind hier (C‑807/2021, „Deutsche Wohnen“) bzw. hier (C‑683/21) abrufbar.