1,2 Milliarden Euro Geldbuße gegen Meta (2023), 746 Millionen Euro gegen Amazon (2021), 90 Millionen gegen Google (2021). Die Ahndung von datenschutzrechtlichen Verstößen durch hohe Geldbußen ist schon lange keine Seltenheit mehr.

Der Ausgangsfall

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte im Jahr 2019 einen Bußgeldbescheid über 14,5 Millionen Euro gegen die Deutsche Wohnen SE, weil diese personenbezogene Daten der Mieter:Innen zu spät gelöscht habe. Im Bußgeldbescheid bezeichnete die Behörde weder einen bestimmten Beschäftigten des Unternehmens, dem die Pflichtverletzung zur Last fallen soll, noch stellte sie eine mangelhafte Aufsicht durch die Unternehmensleitung fest.  Die Deutsche Wohnen SE widersprach dem Bußgeldbescheid daher u.a., weil er den Gegenstand des Verfahrens in persönlicher Hinsicht nicht wie in § 66 OWiG vorgeschrieben aufführte.

Nach dem deutschem Ordnungswidrigkeitenrecht muss ein schuldhaftes Fehlverhalten einer konkret identifizierbaren Leitungs-, Aufsichts- oder sonst vertretungsberechtigten Person nachgewiesen werden, damit das Unternehmen nach § 30 OWiG für den Datenschutzverstoß haftet. Das Fehlverhalten kann gem. § 130 OWiG auch in der fahrlässigen Unterlassung von Aufsichts- und Organisationspflichten liegen.

Dieses Zurechnungsprinzip kennt das Europäische Recht nicht. Nach dem Wortlaut des Art. 83 DSGVO könnte das Unternehmen als datenschutzrechtlich Verantwortlicher sogar verschuldensunabhängig haften. Ein Nachweis von Vorsatz und Fahrlässigkeit würde sich danach nur auf die Bußgeldhöhe auswirken.

Die Entscheidungen

Im gerichtlichen Verfahren (3 Ws 250/21) um den Bußgeldbescheid gegen die die Deutsche Wohnen SE legte daher das Kammergericht Berlin (KG) dem Europäische Gerichtshof (EuGH) die Frage vor, wann die in Art. 83 DSGVO vorgesehenen Geldbußen gegen ein deutsches Unternehmen verhängt werden können.

Am 05. Dezember 2023 hat der EuGH entschieden:

„Art. 83 der Verordnung 2016/679 ist dahin auszulegen, dass […] eine Geldbuße […] nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß begangen […] hat…“ (Az. C-683/21 (Nacionalinis visuomenės sveikatos centras))

Und:

„[Es gibt] in der DSGVO keine Bestimmung, die die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängig macht, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde.“ (C-807/21 (Deutsche Wohnen))

Das KG legte diese Entscheidung des EUGH mit Senatsbeschluss vom 22. Januar 2024 in Bezug auf den konkreten Fall wie folgt aus:

  • Eine juristische Person kann nach der DSGVO unmittelbar und nicht nur als Verfahrens- oder Nebenbeteiligte bebußt werden.
  • Eine juristische Person ist schuldfähig, so dass es zu einem Gleichlauf von datenschutzrechtlicher Verantwortlichkeit und Haftbarkeit kommt.
  • § 130, 30 OWiG sind nicht anwendbar, sodass eine Unternehmenshaftung nicht den Nachweis der Pflicht- oder Aufsichtspflichtverletzung einer natürlichen Person voraussetzt. Der Bußgeldbescheid nach der DSGVO muss die natürliche Person, der eine Pflichtverletzung zur Last fällt, daher auch nicht bezeichnen.
  • Es wird nicht eine fehlerhafte Datenschutz-Organisation sanktioniert, sondern gerade die Pflichtverletzung im Unternehmen, als "genuine Verbandstat“. Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt nicht zur Exkulpation.

Das Verfahren verwies das KG mit diesen Vorgaben an das Landgericht Berlin zurück. Eine abschließende Entscheidung in Bezug auf weitere verfahrensrelevante Fragen steht noch aus.

Die Auswirkungen in der Praxis

Die Entscheidungen des EUGH und des KG senken die Voraussetzungen für Unternehmensgeldbußen nach DSGVO im Vergleich zum deutschen Ordnungswidrigkeiten-Recht.

Exkulpieren kann sich ein Unternehmen, dem ein Datenschutzverstoß zurechenbar ist, praktisch nur noch, wenn die Tat einen Exzess eines Mitarbeitenden darstellt und das Unternehmen damit für die Datenverarbeitung nicht mehr i.S.d. Art. 4 Nr.7 DSGVO datenschutzrechtlich verantwortlich ist. Ein Mitarbeiter-Exzess liegt jedoch nur in dem selten auftretenden Fall vor, dass der Täter entgegen unternehmensinternen Weisungen allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Verteidigung gegen einen Bußgeldbescheid nach der DSGVO wird daher zukünftig häufiger bereits auf Ebene des operativen Rechtsverstoßes ansetzen müssen, anstatt lediglich ein fehlendes Leitungsversagen ins Feld zu führen, soll die Verhängung einer Unternehmensgeldbuße verhindert werden.

Die Entscheidungen bewirken jedoch nicht, dass sich ein wirksames Datenschutz-Management-System bzw. Compliance-System nicht lohnt.

Im Gegenteil:

Erstens wirkt ein gutes System Fehlern auf operativer Ebene entgegen, die Anknüpfungspunkt für Unternehmensgeldbußen sein können. 

Zweitens ermöglicht das System eine schnelle Sachverhaltsaufklärung, aufgrund derer Gegenmaßnahmen ergriffen werden können, die häufig bereits die Eröffnung eines Bußgeldverfahrens verhindern.

Drittens wirkt sich der Nachweis eines funktionierenden Compliance-Systems erheblich auf die Bußgeldberechnung nach Art. 83 DSGVO und damit auf die Bußgeldhöhe aus.

Zuletzt hat weder der EUGH noch das KG ausgeführt, wie das Verschulden einer juristischen Person konkret festgestellt werden soll. Die Datenschutzbehörde muss nach dem Urteil des EUGH jedoch nachweisen, dass ein Unternehmen vorsätzlich oder fahrlässig handelte, um ein Bußgeld zu verhängen. Es ist nicht auszuschließen, dass in zukünftigen Bußgeldverfahren das Verschulden des Unternehmens danach beurteilt wird, ob ein geeignetes Datenschutz-Management-System implementiert wurde. 

Ansprechpartner
Dr. David Albrecht
Sophia Hoffmeister