DSGVO-Bußgelder: Laut EuGH bedarf es eines Verschuldens

Wer haftet wann für was?

Dem Vorabentscheidungsverfahren vorangegangen war eine Vorlage des Kammergerichts (KG) in Berlin. Es hatte eine Klage der Deutsche Wohnen SE gegen einen Bußgeldbescheid der Staatsanwaltschaft Berlin zu entscheiden. Die zuständige Datenschutz-Aufsichtsbehörde stellte bei einer Vor-Ort-Kontrolle fest, dass personenbezogene Daten von Mieter:innen in einem elektronischen Archivsystem gespeichert wurden, bei dem weder nachvollzogen werden konnte, ob die Speicherung überhaupt erforderlich ist, noch, ob nicht mehr erforderliche Daten gelöscht werden. Dieses Vorgehen begründet Verstöße gegen die Prinzipien der Datenminimierung sowie der Speicherbegrenzung aus der Datenschutz-Grundverordnung (DSGVO), die die Aufsichtsbehörde mit einem Bußgeld in Höhe von sagenhaften 14,5 Mio. € bepreiste.

KG legt EuGH zwei Fragen zur Vorabentscheidung vor

Zum einen war zu klären, ob nach der DSGVO eine Geldbuße gegen ein Unternehmen verhängt werden kann, ohne dass der Verstoß zuvor einer identifizierbaren natürlichen Person – also einer konkreten Mitarbeiterin bzw. einem konkreten Mitarbeiter der Deutsche Wohnen – zugerechnet wird.

Bei positiver Beantwortung der ersten Frage stellte es die Anschlussfrage, ob das Unternehmen den durch eine:n Mitarbeiter:in vermittelten Verstoß schuldhaft begangen haben muss oder ob bereits ein objektiver Pflichtenverstoß („strict liability“) – also eine verschuldensunabhängige Haftung – ausreicht. Problematisch ist nach Auffassung des KG, dass eine schuldhafte Verletzung der DSGVO oft schwierig zu beweisen ist.

Stellungnahme des EuGH

Der EuGH beantwortete die erste Frage dahingehend, dass nach der DSGVO grundsätzlich haftet, wer Verantwortlicher im Sinne der Verordnung ist. Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Es kommt also allein darauf an, ob das Unternehmen die Zwecke und Mittel der Verarbeitung bestimmt. Eine Zuordnung des Verstoßes zu einer konkreten Mitarbeiterin bzw. einem konkreten Mitarbeiter ist für die Haftung des Unternehmens daher nicht erforderlich. Problematisch ist hierbei, dass die deutschen Bußgeldvorschriften aus dem Ordnungswidrigkeitengesetz (OWiG) abweichend von der europäischen Regelung eine Zuordnung zu einer konkreten Person verlangen. Die DSGVO gilt als europäische Verordnung unmittelbar in allen Mitgliedstaaten und hat Anwendungsvorrang vor den nationalen Gesetzen. Die Verordnung bietet dem nationalen Gesetzgeber keinen Ermessensspielraum zur Verkürzung der Bußgeldvoraussetzungen. Nach der Entscheidung des EuGH muss die deutsche Regelung von den Gerichten nunmehr europarechtskonform ausgelegt werden und der nationale Gesetzgeber ist angehalten, das deutsche Bußgeldrecht an die neue Rechtsprechung anzupassen.

Für die zweite Frage verwies der EuGH auf die allgemeinen Haftungsgrundsätze der DSGVO. Demnach müsse der Verantwortliche einen Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begehen, damit ein Bußgeld gegen ihn verhängt werden kann. Diese Auffassung werde auch durch die übrige Systematik des Sanktionssystems der DSGVO bestätigt. So bestehe für die Aufsichtsbehörden zusätzlich oder anstelle von Bußgeldern die Möglichkeit, weitere Sanktionsmaßnahmen im Sinne von Warnungen, Verwarnungen oder Anweisungen auszusprechen, sollte es im Einzelfall an einer schuldhaften Verletzung mangeln oder sollten Beweisprobleme bestehen. Auch wenn die Bußgelder zur effektiven Durchsetzung der Regelungen der DSGVO ein effektives Mittel böten, habe der europäische Gesetzgeber gerade keine verschuldensunabhängige Haftung vorgesehen.

Der EuGH ließ allerdings offen, wann ein Unternehmen im Falle eines Verstoßes durch eine:n Mitarbeiter:in schuldhaft handelt. Die Antwort hierauf wird das KG im weiteren Prozess selbst geben müssen. Es wird vermutlich prüfen, ob der Leitungsebene der Deutsche Wohnen SE ein Organisationsverschulden unterstellt werden kann. Das könnte dann der Fall sein, wenn im Unternehmen kein funktionierendes Compliance- bzw. Datenschutz-Management-System etabliert wurde. Der EuGH stellte jedenfalls noch fest, dass die Leitungsebene keine Kenntnis von der konkreten Verletzungshandlung der Mitarbeiterin bzw. des Mitarbeiters haben oder gar eine eigene Verletzungshandlung begangen haben muss.

Bedeutung für die Praxis

Das Urteil des EuGH sorgte insgesamt für mehr Klarheit bei der Verhängung von Bußgeldern nach der DSGVO gegen Unternehmen. Im internationalen Vergleich war es für deutsche Aufsichtsbehörden nach dem deutschen Bußgeldrecht bislang schwieriger, gegen Unternehmen vorzugehen, wenn eine Verletzungshandlung keiner konkreten Mitarbeiterin bzw. keinem konkreten Mitarbeiter zugeordnet werden konnte. Diese Hürde ist nun weggefallen.

Auf der anderen Seite bestärkte der EuGH Unternehmen insoweit, als dass ihnen eine Verletzungshandlung einer Mitarbeiterin bzw. eines Mitarbeiters nur dann vorgeworfen werden kann, wenn das Unternehmen schuldhaft handelte. Wenn Unternehmen also grundsätzlich für ein funktionierendes Datenschutz-Management sorgen, sollten sie bei einzelnen Datenschutzverstößen, die nicht auf ein systematisches Versagen zurückzuführen sind, gegen Bußgelder gefeit sein. 

Daher wird dringend empfohlen, innerhalb eines Compliance-Management-Systems (CMS) – das jedes Unternehmen haben sollte – auch Bereiche wie den Datenschutz mit passenden Vorgaben, Zuständigkeiten, Schulungen, Dokumentationen, Kontrollen etc. zu versehen.

Europäischer Gerichtshof, Urteil vom 5.12.2023 – C 807/21

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink