Update Datenschutz Nr. 159 & Update Compliance 9/2023
EuGH iS Deutsche Wohnen SE: DSGVO-Verbandssanktionierung setzt Verschulden voraus – aber nicht die Tat einer Leitungsperson
Gegen ein datenschutzrechtlich verantwortliches Unternehmen darf eine Geldbuße nach Art. 83 DSGVO nur dann verhängt werden, wenn nachgewiesen ist, dass das Unternehmen den Verstoß vorsätzlich oder fahrlässig begangen hat. Nicht erforderlich sei hierfür indes die Feststellung, dass ein Leitungsorgan vorsätzlich oder fahrlässig gehandelt oder auch nur Kenntnis von dem rechtswidrigen Verhalten hat. Dies hat der EuGH in seinem Urteil vom 5. Dezember 2023 entschieden (Rs. C-807/21, Urt. v. 05.12.2023). Das Gericht folgt damit im Wesentlichen den Anträgen des Generalanwalts.
Insoweit weiche, so das Urteil des EuGH, das deutsche System der Sanktionierung von Unternehmen gem. §§ 30, 130 des Ordnungswidrigkeitengesetzes (OWiG) von der Systematik der DSGVO ab. Im deutschen OWiG ist der Nachweis einer vorsätzlichen oder fahrlässigen Tat einer individualisierten Leitungsperson, durch die Pflichten des Unternehmens verletzt wurden oder das Unternehmen bereichert wurde oder werden sollte, Voraussetzung für die Verhängung einer Verbandgeldbuße (sog. “Zurechnungsmodell”).
Dazu, wie ein vorsätzliches oder fahrlässiges Verhalten eines Unternehmens unabhängig von einem individualisierten Verhalten einer Einzelperson festgestellt werden kann, hat sich der EuGH in seinem Urteil nicht verhalten.
Das Urteil des EuGH führt insoweit zu einer Spaltung des deutschen Verbandssanktionenrechts in ein Datenschutzsanktionenrecht nach der DSGVO auf der einen Seite und ein allgemeines, dem Zurechnungsmodell folgendes Unternehmensbußgeldrecht, das für alle anderen Rechtsbereiche Geltung beansprucht.
Historie
Dem Urteil des EuGH vorangegangen war ein Bescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI), der die Deutsche Wohnen SE dazu verpflichtete ein Bußgeld in Höhe von 14,5 Mio. wegen Verstöße gegen die Datenschutzgrundverordnung (DSGVO) zu zahlen.
Die BlnBDI hatte zuvor, am 23. Juli 2017, im Rahmen einer Vor-Ort-Kontrolle die Deutsche Wohnen SE darauf hingewiesen, dass nicht nachvollzogen werden könne, warum einige personenbezogenen Mieterdaten noch aufbewahrt werden, obwohl dies aus Sicht der BlnBDI nicht mehr erforderlich sei. Die Deutsche Wohnen SE wurde daraufhin dazu aufgefordert diese Daten zu löschen.
Nach einer erneuten Überprüfung warf die BlnBDI in ihrem Bußgeldbescheid vom 30. Oktober 2020 der Immobiliengesellschaft vor, es zwischen dem 25. Mai 2018 und dem 5. März 2019 unterlassen zu haben, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Auch wurde dem Unternehmen vorgeworfen, personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert zu haben, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich war.
Vorgeworfen wurde der Immobiliengesellschaft, dass die Systeme der Deutsche Wohnen SE die Datenschutzgrundsätze nicht eingehalten haben, weil Technikgestaltungen und datenschutzfreundliche Voreinstellungen nicht wirksam umgesetzt worden seien, obwohl dies nach Art. 25 DSGVO erforderlich ist. Des Weiteren sollen mehrerer Mieterdaten gespeichert worden seien, obwohl dies für den Zweck für den sie ursprünglich erhoben wurden nicht erforderlich gewesen sein soll. Es habe somit an einer erforderlichen Rechtsgrundlage gefehlt, Art. 6 DSGVO.
Die BInBDI legte das Bußgeld auf 14,5 Mio. Euro fest, was innerhalb Deutschlands das zweithöchste Bußgeld darstellt, das bisher wegen vermeintlicher datenschutzrechtlicher Verstöße verhängt wurde. Lediglich die Bekleidungsgesellschaft H&M erhielt mit 35 Mio. EUR ein höheres Bußgeld.
Die Deutsche Wohnen SE erhob gegen den Bescheid Einspruch, sodass das Landgericht Berlin das Verfahren nach § 46 Abs. 1 OWiG i.V.m. § 206a StPO einstellte. Sie begründete ihren Einspruch damit, dass die Bebußung einer juristischen Person sich im deutschen Recht nach § 30 des OWiG richte und diese Vorschrift eine betriebsbezogene schuldhafte Anknüpfungstat durch eine individualisierte Leitungsperson voraussetze. Eine solche sei im Bußgeldbescheid nicht festgestellt worden. Die Verhängung einer Geldbuße sei in § 30 OWiG abschließend geregelt, diese Vorschrift sei auch auf Verstöße nach der DSGVO anwendbar. Das Landgericht Berlin stellte daraufhin das Verfahren ein. Hiergegen erhob die Staatsanwaltschaft Berlin die sofortige Beschwerde. Das Kammergericht Berlin musste nun erneut entscheiden.
Das Kammergericht legte dem EuGH zuvor zwei Fragen zur Vorabentscheidung vor:
„Ist Art. 83 Abs. 4 bis 6 der DSGVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des dem § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?"
sowie
„Wenn Frage 1 bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 der Datenschutz-Grundverordnung dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss [vgl. Art. 23 der Verordnung (EG) Nr. 1/20031 ]), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?“
In anderen Worten:
- Bedarf es für die Bebußung eines Unternehmens der Feststellung einer natürlichen und identifizierten Person, die gegebenenfalls volldeliktisch die Ordnungswidrigkeit begangen hat, wie in § 30 OWiG gefordert
- und falls ja, ist das Verschulden eine Voraussetzung für die Bebußung oder reicht alleine der objektive Verstoß gegen die DSGVO aus?
Die BlnBDI ist der Auffassung, dass der europäische Gesetzgeber von einer direkten Sanktionierung juristischer Personen und Unternehmen ausgeht, sodass es keiner Feststellung einer natürlichen und identifizierten Person bedarf, also die Regelungen des OWiG nicht anwendbar seien. Die BlnBDI ist auch der Auffassung, dass kein Verschulden vorliegen muss, sodass der alleinige objektive Pflichtenverstoß für die Bebußung ausreicht.
Diese Ansichten werden unter anderem von der Datenschutzkonferenz (DSK) geteilt, was sich aus deren Stellungnahme vom 5. Januar 2023 ergibt.
Deutsche Wohnen hält dagegen die Feststellung einer natürlichen identifizierten Person für erforderlich, sowie den Nachweis eines Verschuldens. So sollen die Datenschutzbehörden darlegen und beweisen, dass ein vorwerfbares Verhalten der Unternehmensleitung vorliegt, z. B. unzureichende Überwachung. Der Generalstaatsanwalt Manuel Campos Sánchez-Bordona ist in seinen Schlussanträgen vom 27. April 2023 der Ansicht, dass die Datenschutzbehörden direkt gegen Unternehmen Bußgelder verhängen dürfen, ohne dass es der Feststellung einer natürlichen identifizierten Person bedarf. Jedoch soll die Verhängung der Bußgelder von einem Verschulden abhängig gemacht werden. Der Generalstaatsanwalt legt für das Vorliegen der Fahrlässigkeit geringe Maßstäbe an, so dass teilweise kritisiert wird, dass eine verschuldensunabhängige Haftung “durch die Hintertür” eingeführt werden könnte.
Urteil des EuGH und erste Bewertung
Der EuGH hat der Ansicht, dass die DSGVO eine komplett verschuldensunabhängige Sanktionierung von datenschutzrechtlich verantwortlichen Unternehmen erlaube, eine Absage erteilt. Die bloße Feststellung eines objektiven Verstoßes gegen Datenschutzvorschriften reiche nicht aus, um eine Unternehmensgeldbuße zu verhängen. Allerdings will der EuGH das sog. “Zurechnungsmodell” des deutschen Verbandssanktionenrechts (§ 30 OWiG), das die Feststellung einer schuldhaften Anknüpfungstat durch eine Leitungsperson verlangt, nicht auf die DSGVO angewendet wissen.
Der EuGH hat in Beantwortung der ersten Vorlagefrage demgemäß festgestellt, dass die Sanktionssystematik der DSGVO dem deutschen Unternehmenssanktionenrecht widerspricht. Die Feststellung einer betriebsbezogenen Tat einer Leitungsperson, wie sie § 30 OWiG fordere, sei in Art. 83 DSGVO nicht gefordert. Die zweite Vorlagefrage hat der EuGH damit beantwortet, dass die Sanktionierung von Unternehmen gleichwohl nur verschuldensabhängig erfolgen dürfe: Es müsse also Vorsatz oder Fahrlässigkeit festgestellt werden. Der Nachweis, dass eine Leitungsperson Vorsatz oder Fahrlässigkeit trifft oder eine Leitungsperson auch nur Kenntnis von dem rechtswidrigen Verhalten im Unternehmen hatte, sei indes nicht erforderlich.
Konsequenzen für das Bußgeld gegen die Deutsche Wohnen SE
Diese Rechtsprechung führt zu einer Abweichung der Sanktionsregeln der DSGVO von der im deutschen Recht im Übrigen geltenden Verbandssanktionssystematik.
Das Kammergericht Berlin wird den Bußgeldbescheid der BInBDI nunmehr daraufhin prüfen müssen, ob die Bußgeldbehörde darin überhaupt Vorsatz oder Fahrlässigkeit festgestellt hat. Verneinendenfalls wird das Kammergericht den Bußgeldbescheid aufheben, denn nach Ansicht des EuGH muss für die Sanktionierung eines Unternehmens nach der DSGVO ein Verschulden nachgewiesen sein.
Wurde im Bußgeldbescheid indes ein solches Verschulden festgestellt, würde dies für die Bebußung ausreichen. Ein weiterer Nachweis, wen im sanktionierten Unternehmen dieses Verschulden persönlich trifft, ist nach Ansicht des EuGH nicht mehr erforderlich. Hier liegt der Unterschied zu § 30 OWiG, der ein individualisiertes Verschulden einer der dort genannten Leitungspersonen voraussetzt, um ein Unternehmen zu sanktionieren.
Wie ein Verschulden eines Unternehmens unabhängig von Feststellungen natürlicher Personen betreffend – also Menschen – nachgewiesen werden soll, bleibt offen. Das ist nicht unproblematisch, und es bleibt abzuwarten, wie deutsche Bußgeldbehörden mit dem Verdikt des EuGH umgehen: Denn dem deutschen Strafrechtssystem liegt die Vorstellung zugrunde, dass “Schuld” im Sinne persönlicher Vorwerfbarkeit zu verstehen ist, “Schuld” also nur natürliche Personen treffen kann, nicht juristische Personen oder Personenmehrheiten. Von dieser persönlichen Vorwerfbarkeit hängt im deutschen Rechtssystem die Sanktionierung nicht nur von natürlichen Personen, sondern – wie gezeigt – auch die Sanktionierung von Unternehmen ab.