DS-GVO-Bußgelder gegen Unternehmen: EuGH klärt Rechtslage

Der Europäische Gerichtshof (EuGH) hat entschieden, dass bei einem schuldhaften Verstoß gegen die DS-GVO die Verhängung eines Bußgelds nach Art. 83 DS-GVO auch unmittelbar gegen ein Unternehmen möglich ist. Die Entscheidung unterstreicht, dass jedes Unternehmen hinsichtlich der Verarbeitung von personenbezogenen Daten ein wirksames Datenschutzkonzept benötigt, um Bußgelder durch Verstöße ihrer Mitarbeitenden gegen die DS-GVO zu vermeiden.

Hintergrund

Das Urteil des EuGH geht auf zwei Vorlagefragen zurück, zum einen die eines litauischen Gerichts und zum anderen die des Berliner Kammergerichts (KG).

In dem zugrundeliegenden Verfahren vor dem KG ging es um die Verhängung eines Bußgelds durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit nach Art. 83 DS-GVO i. H. v. 14,5 Mio. Euro wegen Verstößen der Deutsche Wohnen SE gegen die Grundsätze der Datenverarbeitung aus Art. 5 und Art. 25 Abs. 1 DS-GVO. Anlass für das Bußgeld war, dass die Deutsche Wohnen SE, die seit 2021 zur Vonovia SE gehört, personenbezogene Daten von Mietern in einem Archivsystem speicherte, ohne eine Möglichkeit zur Löschung vorzusehen. Für das KG stellte sich die Frage, ob ein solches Bußgeld nach Art. 83 DS-GVO verschuldensunabhängig unmittelbar gegen ein Unternehmen verhängt werden darf. Diese Frage legte es dem EuGH zur Vorabentscheidung vor (Beschl. v. 6.12.2021 – Az. 3 Ws 250/21).

EuGH-Urteil im Vorabentscheidungsverfahren

Nach den Schlussanträgen des Generalanwalts Manuel Campos Sánchez-Bordona vom 27.4.2023 folgte nun am 5.12.2023 das Urteil des EuGH. Der EuGH stellt in seiner Entscheidung die Voraussetzungen heraus, unter denen nationale Aufsichtsbehörden eine Geldbuße nach der DS-GVO verhängen können.

Der EuGH entschied zum einen, dass Geldbußen wegen eines Verstoßes gegen die DS-GVO auch unmittelbar gegen die juristische Person, also ein Unternehmen, verhängt werden können. Es gebe in der DS-GVO gerade keine Regelung, die verlange, vor der Verhängung einer Geldbuße gegen ein Unternehmen festzustellen, dass der Verstoß gegen die DS-GVO von einer bestimmten natürlichen Person begangen worden ist. Die DS-GVO unterscheide bei der Bestimmung der Haftung nicht zwischen natürlichen und juristischen Personen. Eine nationale Regelung, die als zusätzliche Anforderung die Zurechenbarkeit des Verstoßes zu einer natürlichen Person fordert, widerspreche daher dem Zweck der DS-GVO. Vielmehr könne sie die Wirksamkeit und abschreckende Wirkung von Bußgeldern gegen Unternehmen schwächen. Weiter entschied der EuGH, dass Unternehmen nicht nur für Verstöße haften, die ihre Vertreter, Leiter oder Geschäftsführer begangen haben, sondern auch für Verstöße von anderen Personen, die im Rahmen ihrer unternehmerischen Tätigkeit im Namen des Unternehmens gehandelt haben.

Zum anderen entschied der EuGH, dass der Nachweis von schuldhaftem Verhalten, also das Vorliegen von Vorsatz oder Fahrlässigkeit, für die Annahme eines Verstoßes gegen die DS-GVO erforderlich sei. Der EuGH tritt damit einer Interpretation des Art. 83 DS-GVO – u. a. durch die deutsche Bundesregierung – entgegen, nach der die Mitgliedstaaten bei der Umsetzung des Art. 83 DS-GVO einen gewissen Ermessensspielraum haben. Bei der Verhängung einer Geldbuße nach der DS-GVO durch die nationale Aufsichtsbehörde sei, so der EuGH, ausschließlich das Unionsrecht maßgeblich. Das Unionsrecht biete jedoch keine Anhaltspunkte für die Annahme von verschuldensunabhängiger Haftung.

Der EuGH verweist in diesem Zusammenhang auf seine Rechtsprechung, der zufolge ein Verantwortlicher dann sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm bewusst gewesen war, dass er gegen die Vorschriften der DS-GVO verstoße. Weiterhin stellt der EuGH klar, dass die Anwendung von Art. 83 DS-GVO bei Unternehmen keine Handlung und auch keine Kenntnis des Leitungsorgans dieser juristischen Person voraussetzt.

Auswirkung auf die Praxis

Die Entscheidung des EuGH macht deutlich, dass die Sanktionierung von Verstößen gegen die DS-GVO gerade nicht davon abhängt, dass die nationale Aufsichtsbehörde die unternehmensinterne Verantwortlichkeit aufklärt und nachweist, um der juristischen Person den Verstoß einer Leistungsperson zuzurechnen. Daher sollten Unternehmen ein besonderes Augenmerk darauf legen, ihre Mitarbeitenden zu datenschutzrechtlichen Fragestellungen zu schulen. Einem qualifizierten Datenschutzbeauftragten kommt hierbei eine Schlüsselrolle zu. Notwendiger Bestandteil des Datenschutzkonzepts ist – gerade mit Blick auf den hier zugrunde liegenden Verstoß – auch ein Löschkonzept, in dem notwendige Aufbewahrungsfristen und daraus abgeleitete Löschfristen dokumentiert sind. Dieses ist Grundlage für die Umsetzung der notwendigen Löschroutinen in den verwendeten Anwendungen und Systemen.

Aufgeatmet werden kann insoweit, als nun Rechtssicherheit darüber besteht, dass nur ein schuldhafter Verstoß gegen die DS-GVO die Verhängung einer Geldbuße rechtfertigen kann.

Es bleibt abzuwarten, wie die Entscheidung des KG in der Sache Deutsche Wohnen SE unter Berücksichtigung des Urteils des EuGH ausfallen wird. Zudem dürfte die Entscheidung des EuGH eine Anpassung des deutschen Ordnungswidrigkeitsrechts erforderlich machen. Insoweit ist zu erwarten, dass auch der Gesetzgeber auf das EuGH-Urteil hin tätig werden wird.

Ansprechpartner*innen: Thomas Schmeding/Alexander Bartsch/Dr. Maximilian Festl-Wietek/Julia Voigt