DS-GVO-Bußgelder gegen Unternehmen: Folgenreiche Schlussanträge
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) verhängte im Oktober 2019 gegen die Deutsche Wohnen SE ein Bußgeld gemäß Art. 83 DS-GVO i. H. v. 14,5 Mio. Euro wegen Verstößen gegen die DS-GVO. Mittlerweile befasst sich der EuGH mit der Sache, in der der Generalanwalt vor Kurzem Schlussanträge veröffentlicht hat. Sollte das Gericht ihnen folgen, hätte das weitreichende Folgen.
Hintergrund
Grund für das Bußgeld war, dass die Deutsche Wohnen SE personenbezogene Daten in einem Archivsystem speicherte, das die Löschung nicht mehr erforderlicher Daten nicht vorsah. Nach Einspruch des Immobilienunternehmens gegen den Bußgeldbescheid stellte das Landgericht Berlin (Beschl. v. 18.2.2021 – Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20)) das Verfahren ein, da eine juristische Person nicht Betroffene, sondern nur Nebenbeteiligte eines Bußgeldverfahrens sein könne. Eine sogenannte autonome Verbandshaftung, nach der Unternehmen unmittelbar haften, ohne dass es auf ein Verschulden einer natürlichen Person, etwa eines Organmitgliedes der juristischen Person, ankomme, sehe das deutsche Gesetz über Ordnungswidrigkeit (OWiG) nicht vor und folge nicht allein aus Art. 83 DS-GVO.
Die Staatsanwaltschaft Berlin legte gegen diese Entscheidung eine sofortige Beschwerde ein. Das Kammergericht (KG) Berlin leitete daraufhin ein Vorabentscheidungsverfahren nach Art. 267 AEUV beim Europäischen Gerichtshof (EuGH) ein, um die Auslegung des Art. 83 DS-GVO zu klären (Beschl. v. 6.12.2021 – Az. 3 Ws 250/21).
Neue Entwicklung: Schlussanträge des Generalanwaltes des EuGH
Vor Kurzem wurden in der Sache die Schlussanträge des Generalanwalts Manuel Campos Sánchez-Bordona v. 27.4.2023 zur Rechtssache C-807/21 veröffentlicht. Der Generalanwalt kristallisierte zwei Kernfragen heraus:
- Kann gegen eine juristische Person eine Sanktion verhängt werden, ohne dass zuvor die Verantwortlichkeit einer natürlichen Person festgestellt werden muss?
- Muss der geahndete Verstoß in jedem Fall vorsätzlich oder fahrlässig begangen worden sein oder genügt ein rein objektiver Verstoß gegen eine Verpflichtung?
Der Generalanwalt bejaht die erste Frage und führt aus, dass für die Verhängung von Verwaltungsgeldbußen vorsätzliches oder fahrlässiges Verhalten festgestellt werden müsse.
In Bezug auf das deutsche Ordnungswidrigkeitenrecht (speziell § 30 OWiG) führt der Generalanwalt aus, dass dieses
„zu einer ungerechtfertigten Schwächung oder Einschränkung der Bandbreite strafbarer Verhaltensweisen führen [könne], die nicht mit der allgemeinen Geltung der DSGVO in Einklang steht“. Eine juristische Person müsse als Verantwortliche i. S. d. DS-GVO Sanktionen „nicht nur tragen, wenn diese von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch, wenn die Verstöße von natürlichen Personen (Mitarbeitern im weiteren Sinne) begangen wurden, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln“.
Folgt der EuGH den Ansichten des Generalanwaltes, hätte dies weitreichende Auswirkungen
Datenschutzbehörden müssten bei Vorliegen eines Verstoßes kein Verschulden eines oder mehrerer individualisierter Vertreter, Leiter oder Geschäftsführer des Unternehmens nachweisen, wie bisher im deutschen Recht üblich. Vielmehr wäre lediglich das Verschulden einer natürlichen Person festzustellen, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens handelt.
Damit wäre abschließend festgestellt, dass Datenschutzbehörden (nur) das Verschulden mindestens einer natürlichen Person nachweisen müssen. Da es dann auf das Verhalten jedes einzelnen Mitarbeiters ankommt, dürften u.a. Schulungen von Mitarbeitern zu datenschutzrechtlichen Fragen erheblich an Bedeutung gewinnen.
Bußgelder werden höher
Ein Überblick über die Entwicklung in Deutschland, aber auch und vor allem in unseren europäischen Nachbarländern zeigt, dass die für Datenschutzverstöße verhängten Sanktionen zunehmend höher werden.
Der „Rekord“ für eine Geldbuße in Deutschland liegt derzeit bei 35,3 Mio. Euro und in Verfahren in unseren Nachbarländern wurden bereits Bußgelder von über 1 Mrd. Euro verhängt. Die Summe der verhängten Bußgelder in der EU übertrifft bereits die Summe aller Bußgelder aus den Jahren 2019, 2020 und 2021 zusammen.
Compliance durch Konzepte, nicht nur beim Löschen
Die rechtmäßige Verarbeitung personenbezogener Daten von der Erhebung über die Speicherung bis zur Löschung erfordert ein ganzheitliches Konzept. Speziell beim Thema Löschen ist ein geordnetes und an den Einzelfall angepasstes Konzept unabdingbar. Denn zum einen fehlt es häufig an gesetzlichen Vorgaben, wie lange Daten gespeichert werden dürfen. Zum anderen stellt auch das verfrühte Löschen eine unrechtmäßige Datenverarbeitung dar, die potenziell bußgeldbewehrt ist. Jüngst hat allerdings der deutsche Gesetzgeber durch die Novellierung des Messstellenbetriebsgesetzes (MsbG) weitere Vorgaben für die Löschung u.a. von Messwerten vorgegeben (hierzu werden wir gesondert berichten). Auf dieser Grundlage ist jedes Unternehmen gehalten, das eigene Sperr- und Löschkonzept zu überprüfen.
Ansprechpartner*innen BBH: Thomas Schmeding/Alexander Bartsch/Dr. Maximilian Festl-Wietek
Ansprechpartner*innen BBHC: Dr. Andreas Jankiewicz/Dr. Karin Appelmann/Victor Stocker