DS-GVO-Bußgelder gegen Unternehmen: Folgenreiche Schlussanträge

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) verhängte im Oktober 2019 gegen die Deutsche Wohnen SE ein Bußgeld gemäß Art. 83 DS-GVO i. H. v. 14,5 Mio. Euro wegen Verstößen gegen die DS-GVO. Mittlerweile befasst sich der EuGH mit der Sache, in der der Generalanwalt vor Kurzem Schlussanträge veröffentlicht hat. Sollte das Gericht ihnen folgen, hätte das weitreichende Folgen.

Hintergrund

Grund für das Bußgeld war, dass die Deutsche Wohnen SE personenbezogene Daten in einem Archivsystem speicherte, das die Löschung nicht mehr erforderlicher Daten nicht vorsah. Nach Einspruch des Immobilienunternehmens gegen den Bußgeldbescheid stellte das Landgericht Berlin (Beschl. v. 18.2.2021 – Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20)) das Verfahren ein, da eine juristische Person nicht Betroffene, sondern nur Nebenbeteiligte eines Bußgeldverfahrens sein könne. Eine sogenannte autonome Verbandshaftung, nach der Unternehmen unmittelbar haften, ohne dass es auf ein Verschulden einer natürlichen Person, etwa eines Organmitgliedes der juristischen Person, ankomme, sehe das deutsche Gesetz über Ordnungswidrigkeit (OWiG) nicht vor und folge nicht allein aus Art. 83 DS-GVO.

Die Staatsanwaltschaft Berlin legte gegen diese Entscheidung eine sofortige Beschwerde ein. Das Kammergericht (KG) Berlin leitete daraufhin ein Vorabentscheidungsverfahren nach Art. 267 AEUV beim Europäischen Gerichtshof (EuGH) ein, um die Auslegung des Art. 83 DS-GVO zu klären (Beschl. v. 6.12.2021 – Az. 3 Ws 250/21).

Neue Entwicklung: Schlussanträge des Generalanwaltes des EuGH

Vor Kurzem wurden in der Sache die Schlussanträge des Generalanwalts Manuel Campos Sánchez-Bordona v. 27.4.2023 zur Rechtssache C-807/21 veröffentlicht. Der Generalanwalt kristallisierte zwei Kernfragen heraus:

  1. Kann gegen eine juristische Person eine Sanktion verhängt werden, ohne dass zuvor die Verantwortlichkeit einer natürlichen Person festgestellt werden muss?
  2. Muss der geahndete Verstoß in jedem Fall vorsätzlich oder fahrlässig begangen worden sein oder genügt ein rein objektiver Verstoß gegen eine Verpflichtung?

Der Generalanwalt bejaht die erste Frage und führt aus, dass für die Verhängung von Verwaltungsgeldbußen vorsätzliches oder fahrlässiges Verhalten festgestellt werden müsse.

In Bezug auf das deutsche Ordnungswidrigkeitenrecht (speziell § 30 OWiG) führt der Generalanwalt aus, dass dieses

„zu einer ungerechtfertigten Schwächung oder Einschränkung der Bandbreite strafbarer Verhaltensweisen führen [könne], die nicht mit der allgemeinen Geltung der DSGVO in Einklang steht“. Eine juristische Person müsse als Verantwortliche i. S. d. DS-GVO Sanktionen „nicht nur tragen, wenn diese von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch, wenn die Verstöße von natürlichen Personen (Mitarbeitern im weiteren Sinne) begangen wurden, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln“.

Folgt der EuGH den Ansichten des Generalanwaltes, hätte dies weitreichende Auswirkungen

Datenschutzbehörden müssten bei Vorliegen eines Verstoßes kein Verschulden eines oder mehrerer individualisierter Vertreter, Leiter oder Geschäftsführer des Unternehmens nachweisen, wie bisher im deutschen Recht üblich. Vielmehr wäre lediglich das Verschulden einer natürlichen Person festzustellen, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens handelt.

Damit wäre abschließend festgestellt, dass Datenschutzbehörden (nur) das Verschulden mindestens einer natürlichen Person nachweisen müssen. Da es dann auf das Verhalten jedes einzelnen Mitarbeiters ankommt, dürften u.a. Schulungen von Mitarbeitern zu datenschutzrechtlichen Fragen erheblich an Bedeutung gewinnen.

Bußgelder werden höher

Ein Überblick über die Entwicklung in Deutschland, aber auch und vor allem in unseren europäischen Nachbarländern zeigt, dass die für Datenschutzverstöße verhängten Sanktionen zunehmend höher werden.

Der „Rekord“ für eine Geldbuße in Deutschland liegt derzeit bei 35,3 Mio. Euro und in Verfahren in unseren Nachbarländern wurden bereits Bußgelder von über 1 Mrd. Euro verhängt. Die Summe der verhängten Bußgelder in der EU übertrifft bereits die Summe aller Bußgelder aus den Jahren 2019, 2020 und 2021 zusammen.

Compliance durch Konzepte, nicht nur beim Löschen

Die rechtmäßige Verarbeitung personenbezogener Daten von der Erhebung über die Speicherung bis zur Löschung erfordert ein ganzheitliches Konzept. Speziell beim Thema Löschen ist ein geordnetes und an den Einzelfall angepasstes Konzept unabdingbar. Denn zum einen fehlt es häufig an gesetzlichen Vorgaben, wie lange Daten gespeichert werden dürfen. Zum anderen stellt auch das verfrühte Löschen eine unrechtmäßige Datenverarbeitung dar, die potenziell bußgeldbewehrt ist. Jüngst hat allerdings der deutsche Gesetzgeber durch die Novellierung des Messstellenbetriebsgesetzes (MsbG) weitere Vorgaben für die Löschung u.a. von Messwerten vorgegeben (hierzu werden wir gesondert berichten). Auf dieser Grundlage ist jedes Unternehmen gehalten, das eigene Sperr- und Löschkonzept zu überprüfen.

Ansprechpartner*innen BBH: Thomas Schmeding/Alexander Bartsch/Dr. Maximilian Festl-Wietek
Ansprechpartner*innen BBHC: Dr. Andreas Jankiewicz/Dr. Karin Appelmann/Victor Stocker

Share
Weiterlesen

05 Dezember

Neufassung des IDW S 1: Weiterentwicklung der Grundsätze der Unternehmensbewertungen

Am 7.11.2024 hat der Fachausschuss für Unternehmensbewertung und Betriebswirtschaft (FAUB) des IDW den Entwurf einer Neufassung des IDW Standards „Grundsätze zur Durchführung von Unternehmensbewertungen“ (IDW ES 1 n. F.) verabschiedet. Dieser würde die bisherige Fassung aus dem Jahr 2008 grundlegend...

04 Dezember

Nach Preissturz und Betrugsvorwürfen: Neue Entwicklungen im THG-Quotenhandel und warum die THG-Quote für Stadtwerke weiterhin relevant bleibt

Der Markt für Treibhausgasminderungsquoten (THG-Quote) war ein lukratives Feld – auch für Stadtwerke. Mit öffentlichen Ladepunkten und Biomethantankstellen konnten sie eigene THG-Quoten generieren oder THG-Quoten bei Endkunden, die ein E-Fahrzeug besitzen, einwerben und vermarkten. Der Preisverfall auf dem THG-Quotenmarkt in...