Der Hintergrund des Falls, der zum Urteil des EuGH in der Sache C-807/21 führte, betrifft das Unternehmen Deutsche Wohnen SE (DW), eine börsennotierte Immobiliengesellschaft mit Sitz in Berlin. DW hält über Beteiligungen an verschiedenen Gesellschaften mittelbar rund 163.000 Wohneinheiten und 3.000 Gewerbeeinheiten.
Der Fall begann, als die Aufsichtsbehörde gegen DW eine Geldbuße in Höhe von 14,385 Millionen Euro festsetzte. Diese Strafe wurde wegen eines vorsätzlichen Verstoßes gegen Artikel 5 Abs. 1 (a, c, e) und Artikel 25 Abs. 1 der DSGVO verhängt. Zusätzlich wurden gegen DW wegen Verstößen gegen Artikel 6 Abs. 1 der DSGVO 15 weitere Geldbußen in Höhe von 3.000 bis 17.000 Euro festgesetzt.
Das Kammergericht Berlin rief den Europäischen Gerichtshof (EuGH) an und legte ihm im Rahmen des Verfahrens mit Deutsche Wohnen SE einige wichtige Fragen zur Vorabentscheidung vor. Das Berliner Gericht wollte vom EuGH geklärt haben:
- Interpretation von Art. 83 Abs. 4 bis 6 DSGVO: Hierbei ging es um die Auslegung bestimmter Abschnitte der DSGVO, die sich auf Geldbußen beziehen. Das Kammergericht Berlin wollte wissen, ob diese Artikel so zu verstehen sind, dass sie die unmittelbare Verhängung von Geldbußen gegen Unternehmen erlauben, ohne dass eine individuelle schuldhafte Handlung innerhalb des Unternehmens festgestellt werden muss.
- Verantwortlichkeit von Unternehmen: Kann eine Geldbuße nach Artikel 83 der DSGVO gegen eine juristische Person verhängt werden, auch wenn nicht nachgewiesen ist, dass der ihr zugeschriebene Verstoß gegen die DSGVO schuldhaft begangen wurde? Diese Frage zielt darauf ab, zu klären, ob Unternehmen direkt für Datenschutzverstöße verantwortlich gemacht werden können, auch ohne ein individuelles Verschulden nachzuweisen.
1 .Frage: Keine individuelle Zuordnung
Der EuGH betont, dass die Datenschutz-Grundverordnung (DSGVO) bei der Bestimmung der Verantwortlichkeit für Datenschutzverstöße keinen Unterschied zwischen natürlichen Personen (wie einzelnen Menschen) und juristischen Personen (wie Unternehmen) macht. Wenn ein Unternehmen die Datenschutzregeln bricht, kann es direkt verantwortlich gemacht werden.
Ein Unternehmen kann als “Verantwortlicher” im Sinne der DSGVO angesehen werden. Das bedeutet, es ist verantwortlich für die Art und Weise, wie es personenbezogene Daten verarbeitet. Wenn es die Regeln der DSGVO nicht einhält, kann es dafür haftbar gemacht werden.
Der Gerichtshof erklärt weiterhin, dass es möglich sein muss, Geldbußen direkt gegen ein Unternehmen zu verhängen, wenn dieses gegen Datenschutzregeln verstößt. Es ist nicht notwendig, zuerst eine bestimmte Person im Unternehmen zu finden, die den Verstoß begangen hat.
Aus diesen Grundsätzen folgert der EuGH, dass die Befugnisse der Aufsichtsbehörde gem. Art. 58 DSGVO auch gegenüber Unternehmen gelten. Eine entsprechende nationale Regelung würde dem Zweck der DSGVO zuwiderlaufen. Da Mitgliedsstaaten keine abweichenden inhaltlichen nationalen Regelungen erlassen dürfen, die die Tragweite der EU-Verordnungen beeinträchtigt, könnten Regelungen des nationalen Rechts hier keine Schranke bilden.
In einfachen Worten bedeutet dies, dass Unternehmen direkt für Verstöße gegen die Datenschutzvorschriften der DSGVO haftbar gemacht werden können, ohne dass ein spezifischer Mitarbeiter als verantwortlich identifiziert werden muss. Der EuGH stellt klar, dass Unternehmen als Ganzes verantwortlich sind und dass es nicht notwendig ist, einen individuellen Schuldigen im Unternehmen zu finden, um eine Geldbuße zu verhängen. Dies erleichtert die Durchsetzung von Datenschutzregeln und stellt sicher, dass Unternehmen die Datenschutzvorschriften ernst nehmen.
2. Frage: Risikohaftung für Unternehmen?
In der zweite Vorlagefrage ging der EuGH nun der Frage nach, ob eine solche Zuordnung auch ohne schuldhaftes Verhalten also verschuldensunabhängig möglich sei. Hiermit wäre eine Risikohaftung für Unternehmen einhergegangen.
Der Europäische Gerichtshof (EuGH) erklärt in seinem Urteil in der Sache C-807/21 dogmatisch, dass die Haftung für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) von Unternehmen immer ein schuldhaftes Verhalten voraussetzt. Der EuGH stellt fest, dass Artikel 83 der DSGVO es nicht zulässt, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 genannten Verstoßes zu verhängen, ohne dass nachgewiesen ist, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist eine Voraussetzung für die Verhängung einer solchen Geldbuße, dass der Verstoß schuldhaft begangen wurde.
Dies bedeutet, dass Unternehmen für Datenschutzverstöße nur dann zur Rechenschaft gezogen werden können, wenn ein gewisses Maß an Verschulden vorliegt. Der EuGH betont damit, dass eine reine objektive Haftung (strict liability), bei der eine Geldbuße ohne Nachweis eines Verschuldens verhängt wird, nicht mit den Bestimmungen der DSGVO vereinbar ist. Dieser Ansatz spiegelt das Prinzip wider, dass Sanktionen verhältnismäßig und auf ein schuldhaftes Verhalten ausgerichtet sein müssen.
Der EuGH stellt noch einmal klar, das es bei Datenschutzverstößen keiner Zurechnung höherer Leitungsebenen bedarf. „Keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person“, ist Voraussetzung für eine Strafe.
Folgen des Urteils
Auch wenn es im besagten Rechtsfall (Wybitul hat sich in der von ihm herausgegebenen „Zeitschrift für Datenschutz“ optimistisch für den Ausgang des Falls vor dem KG Berlin geäußert – in dem er übrigens auch zum Anwaltsteam gehört, ZD-Aktuell 2023, 01466) eine Tür für eine Entlastung der „Deutschen Wohnen“ zu geben scheint (hierzu möchte ich mich nicht äußern): In den meisten Fällen kann aus der Beratungspraxis gesagt werden, dass es der DS-Behörde nicht schwer fallen wird ein schuldhaftes Verhalten darzulegen. Dennoch muss dieses Verhalten im Bußgeldbescheid seinen Niederschlag gefunden haben. Darauf werden die beratenden Anwälte nun zusätzlich achten.
Datenschutzverstöße sind aber nur selten ohne schuldhaftes Verhalten vorstellbar. Der EuGH weist daher nicht ohne Grund am Ende seines Urteils noch einmal in Rn. 161 darauf hin, dass es keiner Kenntnislage und erst Recht keiner Handlung in der Geschäftsführung bedarf um einen DS-Verstoß zu normieren. Allerdings entsteht für die DS-Behörden, nun ein erhöhter Beurteilungsaufwand, da die verantwortliche Stelle sich in einigen Fällen darauf berufen kann, dass sie alle Maßnahmen zum Schutz der personenbezogenen Daten eingehalten hat. Die Beweislast hierfür liegt in diesem Fall wiederum wieder beim Unternehmen selbst.
In unklaren Rechtslagen, wenn sich bspw. auf ein berechtigtes Interesse bezogen wird, wo die Aufsichtsbehörde nur eine Einwilligung erkennt, kann ebenfalls versucht werden die Schuldhaftigkeit des Vergehens in Frage zu stellen.
Diejenigen Unternehmen, die hiervon profitieren, werden aber in einer verschwindend geringen Anzahl sein.
In jedem Fall ist die Unternehmenshaftung selbst endgültig geklärt. Komplizierte Zurechnungen, wie sie das dt. Recht kennt sind im Rahmen der DSGVO nicht notwendig. Dies ist in jedem Fall zu begrüßen.
Recent Comments