DSGVO-Bußgelder: EuGH erklärt unmittelbare Bebußung juristischer Personen für zulässig, Verschulden erforderlich

In seinem Urteil vom 5. Dezember 2023 hat der Europäische Gerichtshof (EuGH) in der Sache „Deutsche Wohnen“ (Rs. C-807/21) entschieden, dass es für die Verhängung eines Bußgeldes nach der Datenschutz-Grundverordnung (DSGVO) gegen eine juristische Person nicht erforderlich ist, den Verstoß zuvor einer identifizierten natürlichen Person zuzurechnen. Entgegenstehende mitgliedstaatliche Regelungen seien nicht anwendbar. Die Haftung setze nach dem EuGH jedoch einen schuldhaften Verstoß (Vorsatz oder Fahrlässigkeit) voraus. Hier verweist der EuGH allerdings auf den niedrigschwelligen unionskartellrechtlichen Verschuldensmaßstab. Schließlich hat der EuGH noch ungefragt Ausführungen zum Unternehmensbegriff bei der Bestimmung der Obergrenze der Geldbußen getätigt, was tendenziell zu höheren Bußgeldern führen kann.

Hintergrund

Das deutschen Sanktionsrecht sieht nach seiner aktuellen Konzeption keine unmittelbare Haftung von Unternehmen vor. Die Verhängung eines Bußgeldes gegen juristische Personen setzt gemäß § 30 OWiG voraus, dass eine natürliche Person (Leitungsperson) eine rechtswidrige und schuldhafte bzw. vorwerfbare Anknüpfungstat begangen hat, die dem Unternehmen zugerechnet werden kann. Seit Inkrafttreten der DSGVO ist umstritten, ob dies auch für Bußgelder nach Art. 83 Abs. 4-6 DSGVO gilt. Parallel zur Geltung der DSGVO hatte der deutsche Gesetzgeber nämlich in § 41 Abs. 1 Bundesdatenschutzgesetz (BDSG) geregelt, dass für Verstöße nach Artikel 83 Abs. 4-6 DSGVO die Vorschriften des OWiG sinngemäß gelten, soweit das BDSG nichts anderes bestimmt. § 30 OWiG wurde nicht von der Geltung ausgenommen. Dies erschien nur folgerichtig, da die DSGVO mit Geldbußen von bis zu 10 Mio. EUR bzw. 20 Mio. EUR und im Fall eines Unternehmens von bis zu 2 % bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zwar drakonische Sanktionen für Datenschutzverstöße vorsieht, jedoch keinerlei Regelungen dazu enthält, unter welchen konkreten Voraussetzungen ein Bußgeld gegen ein Unternehmen verhängt werden kann. Insbesondere regelt die DSGVO nicht, wann die Verwirklichung eines Bußgeldtatbestands durch für ein Unternehmen handelnde natürliche Personen diesem Unternehmen zugerechnet werden kann. Diese unter rechtstaatlichen Gesichtspunkten sehr bedenkliche Regelungslücke wurde durch den § 41 BDSG geschlossen.

LG Bonn vs. LG Berlin

Ob und inwieweit § 41 Abs. 1 BDSG europarechtskonform ist, war jedoch nicht nur in der rechtswissenschaftlichen Literatur, sondern auch in der Rechtsprechung sehr umstritten. Das LG Bonn (Urt. v. 11.11.2020, Az. 29 OWi 1/20) hat in der Rechtssache „1&1“ (siehe bereits hier) die Auffassung vertreten, dass Art. 83 Abs. 4-6 DSGVO eine unmittelbare Haftung von Unternehmen vorsehe. Auf ein schuldhaftes/vorwerfbares Verhalten einer natürlichen Person komme es nicht an, vielmehr genüge die Feststellung eines individualisierbaren Datenschutzverstoßes (sog. Funktionsträgerprinzip). Die DSGVO genieße Anwendungsvorrang und habe das europäische Kartellrecht zum Vorbild gehabt, welches von einer unmittelbaren Verantwortlichkeit der Unternehmen ausgehe. Insbesondere ordne § 41 Abs. 1 BDSG für materiell-rechtliche Verstöße gegen die DSGVO nur eine „sinngemäße“ Geltung der Vorschriften des OWiG an, sodass die Verweisungsnorm einer solchen Interpretation nicht entgegenstehe.

Das LG Berlin ((526 OWi LG) 212 Js-OWi 1/20 (1/20)) hat in der Rechtssache „Deutsche Wohnen“ in entgegengesetzter Richtung entschieden (s. Basar, jurisPR-StrafR 5/2021 Anm. 1). Da die DSGVO keine explizite Regelung enthalte, finde das deutsche Haftungsregime nach den §§ 30, 130 OWiG Anwendung (sog. Rechtsträgerprinzip). Aus dem Schuldprinzip resultiere, dass nur eine natürliche Person eine Ordnungswidrigkeit vorwerfbar begehen könne. Das Gericht setzte sich zudem eingehend mit der „sinngemäßen“ Verweisung in § 41 Abs. 1 BDSG auseinander und sah keinen Raum für eine inhaltliche Einschränkung.

Verfahrensgang

In der Sache geht es um einen Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit gegen die Immobiliengesellschaft Deutsche Wohnen SE in Höhe von 14,5 Mio. EUR aufgrund der mutmaßlich datenschutzwidrigen Speicherung personenbezogener Mieterdaten. Das LG Berlin hat das Verfahren wegen Verfahrenshindernisses mit der Begründung eingestellt, dass der streitgegenständliche Bußgeldbescheid mangels Ausrichtung an § 30 OWiG an erheblichen Mängeln leide und nicht als Grundlage für die Festsetzung eines Bußgeldes dienen könne. Die Staatsanwaltschaft hat gegen diese Entscheidung sofortige Beschwerde eingelegt. Das Kammergericht (3 Ws 250/21 – 161 AR 84/21) hat dem Gerichtshof der Europäischen Union im Vorabentscheidungsverfahren zwei Auslegungsfragen zu Art. 83 Abs. 4-6 DSGVO vorgelegt (C-807/21; siehe zum Verfahrensgang auch hier).

EuGH: Unmittelbare Haftung juristischer Personen

Der EuGH hat entschieden, dass Geldbußen nach der DSGVO direkt gegen juristische Personen verhängt werden können, sofern diese die Eigenschaft eines Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO haben (Rz. 32 ff.). Der Unionsgesetzgeber habe ein hohes Schutzniveau für das Recht der Person auf Schutz der sie betreffenden personenbezogenen Daten gewährleisten wollen, sodass er mit der weiten Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO ausdrücklich natürliche und juristische Personen miteinschließen wollte (Rz. 38 ff.). Art. 83 DSGVO setze nicht voraus, dass der Verstoß von Vertretern, Leitern oder Geschäftsführern der juristischen Person begangen wurde, sondern umfasse auch Verstöße von sonstigen Personen, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelten (Rz. 44). Zudem lege Art. 58 Abs. 2 DSGVO die Befugnisse der Aufsichtsbehörden zum Erlass von Abhilfemaßnahmen fest, ohne auf das Recht der Mitgliedstaaten zu verweisen oder den Mitgliedstaaten einen Ermessensspielraum einzuräumen (Rz. 45). Art. 58 Abs. 4 DSGVO und Art. 83 Abs. 8 DSGVO – jeweils im Lichte des 129. Erwägungsgrundes der DSGVO ausgelegt – würden zwar vorsehen, dass die Mitgliedsstaaten die Verfahren zur Überwachung und Durchsetzung der Verordnung wirksam ausgestalten (Rz. 47). Dies umfasse jedoch nicht die Befugnis, darüber hinaus auch materielle Voraussetzungen vorzusehen (Rz. 48). Dem Zweck der DSGVO, ein hohes Datenschutzniveaus für natürliche Personen zu gewährleisten, liefe es zuwider, wenn es einzelnen Mitgliedstaaten gestattet wäre, zusätzliche materielle Voraussetzungen für den Erlass einer Geldbuße zu schaffen (Rz. 49 ff.). Entgegenstehende mitgliedstaatliche Regelungen, die vorsehen, dass eine Geldbuße wegen eines in Art. 83 Abs. 4-6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde, sind damit aufgrund des Anwendungsvorrangs des Unionsrechts außer Acht zu lassen. Dies gilt auch für § 41 Abs. 1 BDSG i. V. m. § 30 OWiG. Zwar erlaubt § 30 Abs. 4 OWiG eine Geldbuße auch selbstständig gegen eine juristische Person festzusetzen, wenn kein Verfahren gegen die Leitungsperson eingeleitet oder dieses Verfahren eingestellt wird. Allerdings setzt auch das selbstständige Verfahren nach § 30 Abs. 4 OWiG voraus, dass eine Straftat oder Ordnungswidrigkeit einer Leitungsperson festgestellt wird. Dies gilt auch für den Fall, dass der Anknüpfungspunkt für die Ordnungswidrigkeit die Verletzung der Aufsichtspflicht nach § 130 OWiG (ggf. i. V. m. § 9 OWiG) ist. Der Verstoß muss auch hier einer identifizierten natürlichen Person zugerechnet werden, was der EuGH für unzulässig hält.

EuGH: Verschuldensabhängige Haftung

Darüber hinaus entschied der EuGH, dass Geldbußen nach Art. 83 DSGVO nur dann verhängt werden können, wenn der Verantwortliche – egal ob natürliche oder juristische Person – nachweislich den entsprechenden Datenschutzverstoß vorsätzlich oder fahrlässig begangen hat (Rz. 61 ff.). Die Art. 83 Abs. 1 -6 DSGVO legen demnach die Voraussetzungen für die Verhängung der Geldbuße genau fest und ließen den Mitgliedsstaaten keinen Ermessensspielraum (Rz. 65). Aus Art. 83 Abs. 2 lit. b) i.V.m. Abs. 3 DSGVO ergebe sich, dass nur Verstöße gegen die DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung von Geldbußen führen könne (Rz. 66 ff.). Diese Lesart werde durch die allgemeine Systematik und den Zweck der DSGVO gestützt (Rz. 69 ff.), insbesondere habe es der Unionsgesetzgeber nicht für erforderlich gehalten, zur Gewährleistung eines hohen Datenschutzniveaus ein verschuldensunabhängiges Haftungssystem einzuführen (Rz. 74).

Klarstellend führt der EuGH an, dass es für ein Verschulden ausreiche, wenn sich der Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (Rz. 76). Dies entspricht ungefähr einem vermeidbaren Verbotsirrtums im deutschen Recht. Zudem sei für eine Geldbuße nach Art. 83 DSGVO gegen eine juristische Person keine Handlung und nicht einmal eine Kenntnis seitens eines Leitungsorgans erforderlich (Rz. 77). Hiermit wird – unter Verweis auf die einschlägige Rechtsprechung – der unionskartellrechtliche Verschuldensmaßstab auf DSGVO-Verstöße übertragen.

Die Ausführungen des EuGH zum Verschuldensmaßstab werden in einer weiteren Entscheidung vom 5. Dezember 2023, dem Fall “Nacionalinis visuomenės sveikatos centras” aus Litauen (Rs. C‑683/21) weiter konkretisiert. Hier wird die bußgeldrechtliche Haftung des datenschutzrechtlich Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO auch auf die rechtswidrige Verarbeitung personenbezogener Daten erstreckt, die nicht durch den Verantwortlichen selbst erfolgt, sondern durch einen Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DSGVO (dort Rz. 84).  Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters sei nur dann ausgeschlossen, wenn der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (dort Rz. 85).

EuGH: Für Bestimmung der Bußgeldobergrenze gilt unionskartellrechtlicher Unternehmensbegriff

Obwohl der unionskartellrechtliche Begriff des „Unternehmens“ aus Art. 101 und 102 AEUV für die konkrete Auslegungsfrage nicht heranzuziehen sei, lässt es sich der EuGH nicht nehmen, quasi per obiter dictum, auch Ausführungen zum Unternehmensbegriff im Zusammenhang mit der Bestimmung der Höhe einer Geldbuße zu machen (Rz. 53 ff.). Für die Bestimmung des Höchstbetrags einer umsatzbasierten Geldbuße gegen ein Unternehmen von bis zu 2 % bzw. 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres sei der Umsatz des „Unternehmens“ im Sinne der Art. 101 und 102 AEUV als Berechnungsgrundlage heranzuziehen. Dies ist wiederum ein Verweis auf das Unionskartellrecht. Hier wird unter „Unternehmen“ nicht die juristische Person verstanden, die den bußgeldbewehrten Verstoß begangen hat, sondern jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung (Rz. 56). Der Unternehmensbegriff bezeichne somit eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen bestehe (Rz. 56). Folglich kann die juristische Person, die den Verstoß gegen die DSGVO begangen hat, nicht nur auf der Grundlage ihres eigenen Umsatzes mit einer Geldbuße belegt werden, sondern auch auf der Grundlage des Umsatzes ihrer Muttergesellschaft und – je nach Struktur der Unternehmensgruppe, zu der sie gehört – auch auf Grundlage des Konzernumsatzes. Auch wenn – und hier gibt es eine kleine Abweichung vom unionskartellrecht – die Muttergesellschaft nicht direkt für Verstöße ihrer Tochtergesellschaften gegen die DSGVO sanktioniert werden kann, wenn die Muttergesellschaft nicht selbst als für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter beteiligt ist, muss sie unter Umständen dennoch die Rechnung übernehmen, wenn sie gegebenenfalls die Insolvenz der auf Basis des Konzernumsatzes sanktionierten Tochtergesellschaft vermeiden will.

Bewertung

Der EuGH sieht die materiellen Voraussetzungen für ein Bußgeld in Art. 58 Abs. 2 lit. i) und 83 Abs. 4 bis 5 DSGVO abschließend geregelt und verneint einen darüber hinausgehenden Ermessensspielraum der Mitgliedsstaaten. Der Begründung fehlt es jedoch an dogmatischer Tiefe. Zudem bestehen einige Unstimmigkeiten. Einerseits erteilt der EuGH etwaigen Zurechnungserwägungen eine klare Absage, andererseits greift er für die Haftung einer juristischen Person dann doch auf einen Verstoß „irgendeiner“ natürlichen Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt, zurück (Rz. 44). Juristische Personen können aufgrund ihrer Natur letzten Endes immer nur durch natürliche Personen handeln. Ein ähnlicher Widerspruch besteht auch im Hinblick auf das Verschuldenserfordernis. Der EuGH konstatiert, dass das Schuldprinzip auch für juristische Personen gelte und es auf ein Verhalten oder Wissen eines Leitungsorgans nicht ankomme (Rz. 77). Gleichzeitig stellt das Gericht jedoch auf die „Kenntnis“ bzw. das „Bewusstsein“ des Verantwortlichen ab (Rn. 76), was – zumindest nach deutschem Verständnis – nur von natürlichen Personen gebildet werden kann. Im Ergebnis geht der EuGH somit doch von einer Zurechnung von Verhalten und Kenntnis von natürlichen Personen aus, nur dass es sich dabei nicht zwangsläufig um Vertreter, Leiter oder Geschäftsführer handeln muss. Allerdings zeigt der Blick auf den unionskartellrechtlichen Verschuldensmaßstab, wie leicht gegebenenfalls ein Fahrlässigkeitsvorwurf angenommen werden kann. Hier genügt es, in der Regel für ein Verschulden, wenn irgendeine natürliche Person für das Unternehmen fahrlässig gehandelt hat. Eine Grenze erfährt dies ggf. dort, wo eine Person klar die Grenzen ihrer Funktion überschreitet und dieses Verhalten dem Unternehmen auch nicht anderweitig zuzurechnen ist, etwa durch Billigung. Inwieweit sich dieser Ansatz auch auf DSGVO-Verstöße übertragen lässt, die deutlich leichter zu begehen sind als Kartellrechtsverstöße bleibt abzuwarten. Vor diesem Hintergrund empfiehlt sich in jedem Fall die Implementierung eines detaillierten und streng überwachten Datenschutz-Compliance-Management-Systems, um als juristische Person im Fall eines DSGVO-Verstoßes durch Beschäftigte in der Lage zu sein, zu argumentieren, dass jedenfalls der juristischen Person als solcher nicht klar war, dass rechtswidriges Verhalten vorlag. Die Entscheidung des EuGH entbindet die Datenschutzbehörden daher nicht davon, konkret festzustellen, dass der DSGVO-Verstoß schuldhaft begangen wurde und dies durch entsprechende Ermittlung des Sachverhalts nachzuweisen.

Die Ausführungen des EuGH zur Geltung des unionskartellrechtlichen Unternehmensbegriffs bei der Bestimmung der Obergrenze bei umsatzbasierten Geldbußen, dürften zu einem Anstieg der durchschnittlichen Höhe verhängter Bußgelder bei juristischen Personen führen, die Teil einer wirtschaftlichen Einheit i. S. d. Art. 101, 102 AEUV sind. Auch wenn der Umsatz kein Kriterium bei der konkreten Bemessung der Höhe der Geldbuße ist, bietet eine höhere Obergrenze den Datenschutzaufsichtsbehörden mehr Spielraum. Ob höhere Geldbußen im jeweiligen konkreten Fall auch vor Gericht unter Berücksichtigung der jeweiligen Umstände des Einzelfalles Bestand haben werden, muss sich jedoch noch zeigen.

Konsequenz für das Verfahren

In der Rechtssache „Deutsche Wohnen“ wird die Entscheidung dazu führen, dass das Kammergericht der sofortigen Beschwerde der Staatsanwaltschaft stattgeben wird, soweit das Landgericht Berlin das Verfahren wegen erheblichen Mängeln des Bußgeldbescheides eingestellt hat. Laut einer aktuellen Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (hier) soll der Bußgeldbescheid gegen die Deutsche Wohnen SE jedoch ausreichende Feststellungen zum Verstoß gegen die DSGVO und einem vorsätzlichen Handeln der Gesellschaft enthalten.

Ausblick

Das letzte Wort ist jedoch noch nicht gesprochen. Das vom EuGH dargelegte bußgeldrechtliche Haftungskonzept lässt sich nicht widerspruchslos in das deutsche Recht integrieren. Insbesondere das deutsche Verständnis des Schuldprinzips, das auf dem Rechtsstaatsprinzip und der Menschenwürde gründet, lässt sich nur schwer mit den Ausführungen des EuGH vereinbaren. Hier muss im jeweiligen Fall entschieden werden, wann eine juristische Person, die nur über ihre Repräsentanten handeln und unterlassen kann tatsächlich schuldhaft gegen die DSGVO verstößt. Auch ist die Anwendung des unionskartellrechtlichen Unternehmensbegriffs bei der Bestimmung der Obergrenze der Geldbuße unter rechtsstaatlichen Gesichtspunkten mehr als fraglich. Beruht dies doch allein auf dem rechtlich nicht verbindlichen Erwägungsgrund 150 der DSGVO und steht in diametralem Widerspruch zum anordnenden Teil der Verordnung, insbesondere mit Blick auf die Definitionen in Art. 4 Nr. 18, Nr. 19 DSGVO und der Gesamtsystematik der DSGVO. All dies hat der EuGH nicht ansatzweise thematisiert. Die Diskussion wird also anhalten.