Verhängung von DSGVO-Geldbußen gegen Unternehmen – bald nur noch eingeschränkte Verteidigungsmöglichkeiten?

Die Frage, unter welchen Voraussetzungen Geldbußen für Datenschutzverstöße gegen Unternehmen verhängt werden können, gehört zu einem der umstrittensten Punkte der Datenschutz-Grundverordnung (DSGVO). Nach fünf Jahren Geltung des neuen Datenschutzrechts geben die Schlussanträge des Generalanwalts in der Bußgeldsache Deutsche Wohnen nun eine erste Indikation, wie der Europäische Gerichtshof (EuGH) entscheiden könnte.

Verhängung von DSGVO-Geldbußen gegen Unternehmen

Nicht erst seit dem Rekordbußgeld in Höhe von 1,2 Mrd. EUR, welches die irische Datenschutzaufsichtsbehörde Data Protection Commission (DPC) auf Druck des Europäischen Datenschutzausschusses gegen die Meta Platforms Ireland Limited verhängt hat (siehe hier) sind DSGVO-Geldbußen wieder in aller Munde. Verglichen mit der Höhe möglicher Geldbußen für Verstöße gegen die DSGVO sind die Modalitäten für deren Verhängung jedoch von erschreckend niedriger Granularität.

Je nach Kategorie des Datenschutzverstoßes kann die zuständige Datenschutzaufsichtsbehörde gem. Art. 83 Abs. 4-6 DSGVO Bußgelder von bis zu 10 Mio. EUR bzw. 20 Mio. EUR und im Fall eines Unternehmens von bis zu 2 % bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist. Ab einem Jahresumsatz von 500 Mio. EUR können Geldbußen gegen Unternehmen daher die fixe Obergrenze von 10 Mio. EUR bzw. 20 Mio. EUR überschreiten. Demgegenüber regelt Art. 58 Abs. 2 lit. i) DSGVO nur, dass Datenschutzaufsichtsbehörden Geldbußen nach Art. 83 DSGVO verhängen können, ohne jedoch den Kreis möglicher Adressaten zu spezifizieren. Art. 83 DSGVO wiederum erwähnt lediglich, dass eine umsatzbasierte Obergrenze angewendet werden kann, wenn Geldbußen gegen Unternehmen verhängt werden. Der korrespondierende und rechtlich nicht verbindliche Erwägungsgrund 150 verweist für Geldbußen gegen Unternehmen auf den Begriff des „Unternehmens“ im Sinne der Art. 101, 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Die DSGVO geht also davon aus, dass Unternehmen bebußt werden können, ohne jedoch die Voraussetzungen hierfür ausdrücklich zu regeln. Allerdings bestimmt Art. 83 Abs. 8 DSGVO, dass Ausübung Befugnisse durch eine Aufsichtsbehörde gemäß Art. 83 DSGVO (also die Verhängung von Geldbußen) angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss.

Der deutsche Gesetzgeber interpretierte Art. 83 Abs. 8 DSGVO entsprechend weit, als in § 41 Bundesdatenschutzgesetzes (BDSG) nicht nur für das Verfahren wegen eines Verstoßes nach Art. 83 Abs. 4-6 DSGVO auf das OWiG (und die allgemeinen Gesetze über das Strafverfahren, namentlich die StPO und das GVG) verwies, sondern das OWiG auch für solche Verstöße allgemein für „sinngemäß“ anwendbar erklärte, soweit nichts anderes bestimmt wird. Ausdrücklich ausgenommen von der sinngemäßen Anwendbarkeit wurden nur die §§ 17, 35 und 36 OWiG, § 68 OWiG hinsichtlich der erstinstanzlichen Zuständigkeit modifiziert. Der § 30 OWiG, die Kernvorschrift im deutschen Recht für die Verhängung von Geldbußen gegen juristische Personen und Personenvereinigungen, sowie die flankierenden Regelungen in den §§ 9, 130 OWiG (zusammen die „Trias“ der Unternehmenssanktionierung in Deutschland) sind damit nach dem Willen des deutschen Gesetzgebers auch für die Verhängung von DSGVO-Geldbußen anwendbar. Diese Regelung wurde jedoch von den deutschen Datenschutzbehörden schnell als unionsrechtswidrig kritisiert, sieht man doch die Erforderlichkeit einer Zurechnung der Ordnungswidrigkeit über eine Leitungsperson im Sinne des § 30 Abs. 1 OWiG als unzulässige Einschränkung der Befugnisse nach Art. 58 Abs. 2 lit. i) DSGVO in Verbindung mit Art. 83 DSGVO. Die Behörden wollen vielmehr unter Verweis auf Erwägungsgrund 150 den unionskartellrechtlichen Maßstab anwenden und eine DSGVO-Geldbuße gegen ein Unternehmen für jede Handlung einer Person verhängen, die ermächtigt ist, im Namen des Unternehmens zu handeln, da die Handlungen einer solchen Person als Handlungen des Unternehmens angesehen werden sollen. Ein Tun oder Unterlassen der Geschäftsführung soll gerade nicht erforderlich sein. Ein Blick auf die Praxis der unionskartellrechtlichen Sanktionierung zeigt, dass hierdurch Verteidigungsmöglichkeiten erheblich eingeschränkt würden. Es würde genügen, wenn irgendeine natürliche Person für das Unternehmen gehandelt hat. Insoweit ist es in der Praxis des EuGH ausreichend, dass ein Verhalten dem Unternehmen zuzurechnen ist, ohne dass eine konkret handelnde Person überhaupt benannt werden muss. Eine Grenze erfährt dies ggf. dort, wo eine Person klar die Grenzen ihrer Funktion überschreitet und dieses Verhalten dem Unternehmen auch nicht anderweitig zuzurechnen ist, etwa durch Billigung. Eine Verteidigung mit fehlender Zurechnung über die Leitungsebene einer juristischen Person oder Personenvereinigung wäre nicht mehr möglich.

Der Fall Deutsche Wohnen – Funktionsträgerprinzip vs. Rechtsträgerprinzip

Im Fall Deutsche Wohnen kam es zum Schwur, ob § 30 OWiG für die Verhängung von DSGVO-Geldbußen gilt oder nicht. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (Berliner BfDI) verhängte gegen die Deutsche Wohnen SE für angebliche Verstöße gegen Art. 5, 25 DSGVO sowie Art. 6 Abs. 1 DSGVO im Zusammenhang mit der unterlassenen Löschung personenbezogener Mieterdaten Geldbußen von rund 14,5 Mio. EUR. Hierbei ließ die Behörde unter Verweis auf das unionskartellrechtliche Funktionsträgerprinzip die Voraussetzungen des § 30 OWiG außer Acht und verhängte die Geldbußen direkt gegen die Deutsche Wohnen SE als Betroffene, nicht als Nebenbeteiligte im Sinne des OWiG. Der Bußgeldbescheid enthielt zudem keinerlei Feststellungen eines vorwerfbaren Verhaltens einer natürlichen Person, geschweige denn einer Leitungsperson im Sinne des § 30 OWiG. Die Deutsche Wohnen SE legte gegen den Bußgeldbescheid Einspruch ein.

Anders als noch das LG Bonn (Urt. v. 11.11.2020, Az. 29 OWi 1/20) hielt das LG Berlin den § 30 OWiG und das damit verbundene Rechtsträgerprinzip auch für die Verhängung von DSGVO-Geldbußen für anwendbar und erklärte den Bußgeldbescheid der Berliner BfDI für nichtig, da dieser die Anforderungen des § 30 OWiG mithin nicht ansatzweise erfüllte (LG Berlin, Beschl. v. 18.2.2021, Az. (526 OWi LG) 212 Js-OWi 1/20 (1/20)). Das KG als Rechtmittelinstanz setzte das Verfahren aus und möchte vom EuGH im Wege der Vorabentscheidung wissen, ob nach dem Unionsrecht eine Sanktion gegen eine juristische Person wegen eines Verstoßes gegen die DSGVO verhängt werden kann, ohne dass dieser Verstoß zuvor einer natürlichen Person zugerechnet werden muss (KG, Beschl. v. 6.12.2021, Az. 3 Ws 250/21). Zudem fragte das KG, ob das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss oder, ob es für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß im Sinne einer „strict liability“ ausreiche. Das Verfahren wird beim EuGH unter dem Az. C‑807/21 geführt.

Der Maßstab des Generalanwalts

Auf die mündliche Verhandlung vom 17.1.2023 veröffentlichte der Generalanwalt am 27.4.2023 seine Schlussanträge. Er kommt zu dem Ergebnis, dass juristische Personen für DSGVO-Verstöße direkt als Täter anzusehen sind und entsprechende Geldbußen unmittelbar gegen sie verhängt werden können. Die unmittelbare Sanktionierung juristischer Personen stelle sogar „einen Schlüsselmechanismus der DSGVO“ dar, um deren Wirksamkeit zu gewährleisten. Eine solche Sanktionierung müsse auch dann möglich sein, wenn der DSGVO-Verstoß nicht von Vertretern, Leitern oder Geschäftsführern begangen wurde, sondern von natürlichen Personen (Mitarbeitern im weiteren Sinne), die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln. Sofern das mitgliedstaatliche Sanktionsregime einer solchen direkten Sanktionierung juristischer Personen für DSGVO-Verstöße unterhalb der Leitungsebene entgegenstehe, müsste dieses nach Auffassung des Generalanwalts unangewendet bleiben.

Wichtig für das Verständnis der Schlussanträge und gleichzeitig problematisch ist, dass die Reichweite der Trias aus §§ 9, 30, 130 OWiG zwischen den Verfahrensbeteiligten umstritten und daher für den Generalanwalt unklar ist. Die Möglichkeit nach § 30 Abs. 4 OWiG, eine Geldbuße gegen eine juristische Person selbstständig festzusetzten, ohne dass ein Verfahren gegen die Leitungspersonen eingeleitet werden muss, wird nur am Rande angesprochen.   Das KG geht davon aus, nach den §§ 9, 30, 130 OWiG, also dem Rechtsträgerprinzip, könne gegen ein Unternehmen nur dann eine Geldbuße festgesetzt werden, wenn ihm bestimmte, von seinen Leitungspersonen begangene Verstöße zugerechnet werden könnten. Der durch § 130 OWiG erreichbare Schutz von Rechtsgütern sei gegenüber dem aus Art. 101, 102 AEUV abgeleiteten Haftungsregime, dem Funktionsträgerprinzip, deutlich eingeschränkt. Die Bundesregierung und auch die Deutsche Wohnen haben dagegen vorgetragen, § 30 OWiG in Verbindung mit §§ 9, 130 OWiG bildeten ein kohärentes Sanktionssystem, wonach Verwaltungssanktionen gegen ein Unternehmen verhängt werden könnten, ohne dass ein Verfahren gegen die natürliche Person eingeleitet werden müsse, die für das Unternehmen gehandelt habe. Aufgrund der prozessualen Vorschriften des Vorlageverfahrens, ist der Generalanwalt (und auch der EuGH) an die Auslegung des vorlegenden Gerichts, mithin des KG, gebunden. Der Generalanwalt stellt daher am Ende nur den Maßstab auf, anhand dessen das KG noch einmal prüfen müsste, ob die §§ 9, 30, 130 OWiG (auch unter Berücksichtigung des § 30 Abs. 4 OWiG) eine entsprechend effektive Bebußung juristischer Personen ermöglichen.

Interessant ist hierbei, dass der durch den Generalanwalt definierte Maßstab für eine Sanktionierung juristischer Personen enger ist als die unionskartellrechtliche Praxis. Nach Auffassung des Generalanwalts ist Anknüpfungspunkt für die Zurechnung eines Datenschutzverstoßes durch eine natürliche Person, die nicht selbst Vertreter einer juristischen Person ist, nämlich, dass der Verstoß des Mitarbeiters, der unter der Aufsicht der Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind. Insofern wäre weiterhin eine Verteidigung mit dem Argument möglich, dass durch die Leitungspersonen ein ordnungsgemäßes Kontroll- und Überwachungssystem implementiert wurde, welches jedoch von der konkret handelnden Person umgangen wurde. Im Unionskartellrecht wäre die Grenze der Zurechnung dagegen erst dann erreicht, wenn die konkret handelnde Person klar die Grenzen ihrer Funktion überschreitet, was einen strengeren Maßstab darstellt.

Das vom Generalanwalt geforderte Ergebnis ließe sich auch durch eine konsequente Anwendung der §§ 9, 30, 130 OWiG in Verbindung mit § 30 Abs. 4 OWiG erreichen. Dass hierfür ggf. Ermittlung und Aufklärung betriebsinterner Strukturen und Abläufe durch die Datenschutzaufsicht erforderlich sind, was im Einzelfall auch etwas aufwendiger sein kann, ist kein Hindernis einer effektiven Durchsetzung der DSGVO, sondern vielmehr ein rechtstaatliches Grundprinzip.

Keine DSGVO-Geldbußen ohne Verschulden

Positiv hervorzuheben ist, dass der Generalanwalt unter Verweis auf Art. 7 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK), d. h. auf den Grundsatz „keine Strafe ohne Gesetz“ (und Schuld), die Ansicht vertritt, dass die Verhängung einer Geldbuße nach Art. 83 DSGVO nur verschuldensabhängig, d. h. nur bei Nachweis von Vorsatz oder Fahrlässigkeit des Verstoßes möglich ist. Einem System der objektiven Verantwortlichkeit für jeden DSGVO-Verstoß im Sinne einer „strict liability“ wird damit eine Absage erteilt.

Just by the way – Äußerungen zum Unternehmensbegriff

Die Frage, ob der Begriff des „Unternehmens“ im Sinne der Art. 83 Abs. 4-6 DSGVO unter Berücksichtigung des rechtlich nicht verbindlichen Erwägungsgrundes 150 im Lichte der Art. 101, 102 als „wirtschaftliche Einheit“ oder aber in Kohärenz mit den Definitionen in Art. 4 Nr. 18, Nr. 19 DSGVO und der Gesamtsystematik der DSGVO als formelle Rechtspersönlichkeit einer Gesellschaft zu verstehen ist, ist im vorliegenden Fall nicht relevant. Die Deutsche Wohnen SE ist nach den Feststellungen des KG die für die sanktionierte Datenverarbeitung Verantwortliche nach Art. 4 Nr. 7 DSGVO, weshalb eine Zurechnung der Datenverarbeitung durch Tochtergesellschaften in Form von Besitz- und Servicegesellschaften nicht notwendig ist. Zudem liegt die durch die Berliner BfDI verhängte Geldbuße von 14,5 Mio. EUR unterhalb der fixen Obergrenze von 20 Mio. EUR, sodass es auf eine umsatzbasierte Obergrenze nicht ankommt.

Allerdings lässt es sich der Generalanwalt nicht nehmen, gewisse Sympathien für den funktionalen Unternehmensbegriff der Art. 101, 102 AEUV und damit die „wirtschaftliche Einheit“ zum Ausdruck zu bringen. Er betont hierbei, dass dies nur für die Festsetzung der Höhe der Geldbuße gelten soll. Ob eine solche isolierte Betrachtung allein unter Berufung auf einen rechtlich unverbindlichen Erwägungsgrund und unter Erzeugung diverser Konflikte mit dem verbindlichen Teil der DSGVO möglich ist, bleibt sehr fraglich und wird sicher Gegenstand einer anderen EuGH-Vorlage werden. Die Aussage des Generalanwalts, man könne die allgemeinen Grundsätze, die für Sanktionen im Wettbewerbsrecht gelten, im Bereich der Verantwortlichkeit juristischer Personen für Verstöße gegen Vorschriften zum Schutz personenbezogener Daten „analog“ anwenden, ist bei strafrechtsähnlichen Sanktionen wie DSGVO-Geldbußen ebenfalls bedenklich.

Ausblick

Zunächst bleibt festzuhalten, dass die Schlussanträge des Generalanwalts für die Richterinnen und Richter des EuGH nicht bindend sind. Es bleibt also abzuwarten, ob das Gericht der grundsätzlichen Linie des Generalanwalts folgen wird und wenn ja, was es aus den Schlussanträgen im konkreten Urteil macht.

Problematisch ist vor allem, dass die Funktionsweise des deutschen Systems zur Sanktionierung von juristischen Personen und Personenvereinigungen, eigentlich eine reine Rechtsfrage, im Verfahren „streitig“ bleibt. Sollte der EuGH den Schlussanträgen des Generalanwalts folgen, wäre es beim KG noch einmal zu prüfen, ob das System der Sanktionierung eines Unternehmens über eine Aufsichtspflichtverletzung des Inhabers nach § 130 OWiG (und den nach § 9 OWiG gleichgestellten Personen), welche dann eine Ordnungswidrigkeit einer Leitungsperson im Sinne des § 30 Abs. 1 OWiG darstellt, nicht dem Maßstab des Generalanwalts entspricht. Gem. § 30 Abs. 4 OWiG ist es durchaus möglich ein Bußgeldverfahren unmittelbar gegen ein Unternehmen zu führen.

Aber selbst, wenn man die Vorschriften des OWiG nicht anwenden würde, lässt der Zurechnungsmaßstab des Generalanwalts gegenüber dem strikteren Regime des Unionskartellrechts weitere Verteidigungsmöglichkeiten für das bebußte Unternehmen. Da die Zurechnung des Fehlverhaltens einzelner Beschäftigter unterhalb der Leitungsebene nur über einen Mangel des Kontroll- und Überwachungssystems erfolgen soll, kann die Unternehmensführung durch die Implementierung eines effektiven Datenschutz-Management-System einer Zurechnung entgegenwirken, wenn dieses System im Einzelfall von Beschäftigten überwunden werden sollte.