Geldbußen bei DSGVO-Verstößen durch Unternehmen
Neue Urteile des EuGH
Haftung für Fahrlässigkeit und Auftragsverarbeiter
Der Europäische Gerichtshof (EuGH) hat am 5. Dezember 2023 in zwei Urteilen Fragen im Zusammenhang mit der Verhängung von Bußgeldern gegen Unternehmen bei Verstößen gegen die DSGVO geklärt.
Einführung
Nach Art. 83 DSGVO können u.a. gegen Verantwortliche und Auftragsverarbeiter Geldbußen festgesetzt werden, wenn diese bestimmte Pflichten nach der DSGVO verletzen. Verantwortliche und Auftragsverarbeiter können natürliche oder juristische Personen sein (Art. 4 Nr. 7, Nr. 8 DSGVO).
Diese Bestimmungen kollidieren mit dem deutschen Rechtssystem, nach welchem nur natürliche Personen Straftaten oder Ordnungswidrigkeiten begehen können. Eine Strafe im Sinne des Strafgesetzbuchs, also eine Geldstrafe oder Freiheitsstrafe, kann nur gegen eine natürliche Person verhängt werden. Die Festsetzung einer Geldbuße gegen eine juristische Person, also beispielsweise eine GmbH oder Aktiengesellschaft, ist zwar möglich. Das setzt aber gemäß § 30 Abs. 1 OWiG voraus, dass eine natürliche Person in ihrer Eigenschaft als organschaftlicher Vertreter oder sonst in leitender Stellung eine Straftat oder Ordnungswidrigkeit begangen und dadurch Pflichten der juristischen Person verletzt hat. Daraus folgt im Umkehrschluss, dass eine Geldbuße unzulässig ist, wenn ein Mitarbeiter, der nicht in leitender Stellung tätig ist, eine Verpflichtung der juristischen Person verletzt hat.
Die Verhängung einer Geldbuße setzt nach deutschem Recht immer eine schuldhafte Begehung voraus, also dass die handelnde Person vorsätzlich oder fahrlässig gehandelt hat. Nach deutschem Recht ist die Ahndung fahrlässiger Handlungen nur möglich, wenn das Gesetz dies ausdrücklich bestimmt (§ 10 OWiG).
Sachverhalt
Dem ersten Fall lag eine Auseinandersetzung zwischen der Deutsche Wohnen SE, einem der größten deutschen Wohnungsunternehmen, und der Staatsanwaltschaft Berlin zugrunde. Die Berliner Datenschutz-Aufsichtsbehörde hatte gegen die Deutsche Wohnen SE wegen der Speicherung von personenbezogenen Daten von Mietern in einem elektronischen Archivsystem mehrere Geldbußen festgesetzt. Die Behörde beanstandete, dass nicht nachvollzogen werden konnte, ob die Speicherung erforderlich ist und ob die Löschung nicht mehr erforderlicher Daten gewährleistet ist.
Auf Einspruch der Deutsche Wohnen SE stellte das Landgericht Berlin das Verfahren ein, weil der Bußgeldbescheid unter so gravierenden Mängeln leide, dass er nicht als Grundlage für die Festsetzung einer Geldbuße dienen könne. Der schuldhafte Verstoß eines organschaftlichen Vertreters oder sonst in leitender Stellung tätigen Mitarbeiters sei nicht festgestellt.
Fragen an den EuGH
Auf sofortige Beschwerde der Staatsanwaltschaft Berlin legte das Kammergericht Berlin den Fall dem EuGH vor und fragte, ob nach Art. 83 DSGVO die Möglichkeit bestehen muss, eine Geldbuße gegen eine juristische Person zu verhängen, ohne dass der Verstoß gegen die DSGVO zuvor einer identifizierten natürlichen Person zugerechnet wird. Wenn das der Fall ist, fragte das Kammergericht, welche Kriterien für die Verantwortlichkeit eines Unternehmens für einen Verstoß gegen die DSGVO heranzuziehen sind. Insbesondere wollte das Kamemrgericht wissen, ob eine Geldbuße gegen eine juristische Person verhängt werden kann, ohne dass nachgewiesen werden kann, ob der ihr zuzurechnende Verstoß gegen die DSGVO schuldhaft begangen wurde.
Entscheidung
Keine Zurechnung zu einer natürlichen Person
Der EuGH entschied, dass die Bestimmungen der DSGVO einer nationalen Regelung wie in § 30 OWiG entgegenstehen, mithin also die Festsetzung einer Geldbuße nach der DSGVO nicht davon abhängig gemacht werden darf, dass der Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde (Urteil vom 5. Dezember 2023, Rechtssache C-807/21, Deutsche Wohnen SE ./. Staatsanwaltschaft Berlin).
Schuld der juristischen Person erforderlich
Der EuGH entschied des Weiteren, dass Art. 83 DSGVO die Verhängung einer Geldbuße nicht gestattet, ohne dass nachgewiesen ist, dass der Verstoß „von dem Verantwortlichen“ vorsätzlich oder fahrlässig begangen wurde, weil sich aus Art. 83 Abs. 2 Satz 2 b) und Abs. 3 DSGVO ergibt, dass die Verhängung einer Geldbuße vorsätzliches oder fahrlässiges Handeln voraussetzt (Urteil vom 5. Dezember 2023, Rechtssache C-807/21, Deutsche Wohnen SE ./. Staatsanwaltschaft Berlin).
Haftung für Auftragsverarbeiter
In einer zweiten Entscheidung vom selben Tag (Urteil vom 5. Dezember 2023, Rechtssache C-681/21, Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaugos ministerijos ./. Valstybine duomenq apsaugos inspekcija) bestätigte der EuGH die Erforderlichkeit vorsätzlichen oder fahrlässigen Handelns.
Er entschied des Weiteren, dass eine Geldbuße gegen den Verantwortlichen auch dann verhängt werden kann, wenn nicht der Verantwortliche selbst die betreffenden Verarbeitungsvorgänge vornimmt, sondern in seinem Namen ein Auftragsverarbeiter, es sei denn, der Auftragsverarbeiter hat Verarbeitungen vorgenommen
- für eigene Zwecke oder
- auf eine Weise, die nicht mit dem vom Verantwortlichen festgelegten Rahmen vereinbar ist, oder
- auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
Bewertung
Die Vorstellung, dass nicht nur eine natürliche Person, sondern auch eine juristische Person als solche schuldhaft handeln kann, widerspricht der der deutschen Rechtsdogmatik. Wie die Schuld einer juristischen Person konkret festzustellen ist, erläutert der EuGH nicht.
In Fällen, in denen es möglich ist, den Verstoß einer zuvor identifizierten Person zuzurechnen, würde es naheliegen, auf die Schuld dieser Person abzustellen. Allerdings sind durchaus Fälle denkbar, in denen zwar die konkrete Person nicht schuldhaft gehandelt hat, etwa weil ihr ein bestimmtes Wissen fehlte, die juristische Person als solche hingegen schon, etwa weil sie sich das Wissen sämtlicher Mitarbeiter zurechnen lassen muss.
Für Deutschland von besonderer Bedeutung ist, dass § 10 OWiG bei Verstößen gegen die DSGVO schlichtweg nicht gilt. Vielmehr kann fahrlässiges Handeln immer mit einer Geldbuße geahndet werden, auch wenn die betreffende Vorschrift der DSGVO dies nicht explizit regelt.
Bemerkenswert ist schließlich die durch den EuGH etablierte Haftung für Verstöße von Auftragsverarbeitern.
Fazit
Zur Vermeidung von Bußgeldern sollten Unternehmen dringend stringente Vorkehrungen gegen mögliche DSGVO-Verstöße treffen.
Wie ein fahrlässiges Handeln eines Unternehmens konkret nachzuweisen ist, ist zwar auch durch die jüngsten Entscheidungen des EuGH nicht geklärt worden.
Unternehmen, die nicht über ein detailliertes Datenschutzkonzept verfügen und nicht nachweisen können, dass dieses nicht nur als zahnloser Papiertiger in einer Schublade liegt, sondern im täglichen Geschäft beachtet wird und in entsprechenden Workflows (z.B. regelmäßige Löschungen nicht mehr benötigter personenbezogener Daten) umgesetzt wurde, müssen damit rechnen, dass der Fahrlässigkeitsvorwurf erfolgreich erhoben wird.
