06.12.23

EuGH erlaubt direkte DSGVO-Geldbußen gegen Unternehmen, und zwar auch bei Verstößen untergeordneter Mitarbeiter

Der Europäische Gerichtshof (EuGH) hat am 5.12. in der Rechtssache C-807/21 (Deutsche Wohnen) ein wegweisendes Öffnet externen Link in neuem FensterGrundsatzurteil zu den Voraussetzungen für die Verhängung von (verwaltungsrechtlichen) Geldbußen bei DSGVO-Verstößen gefällt, welches vor allem die deutsche Bußgeldpraxis gegen Unternehmen beeinflussen wird.

Geldbußen sind unmittelbar gegen juristische Personen möglich

Der EuGH entschied, dass Datenschutzaufsichtsbehörden bei DSGVO-Verstößen Geldbußen direkt gegen juristische Personen verhängen dürfen und dass die EU-Mitgliedstaaten deren Bebußung nicht von der Bedingung abhängig machen können, dass der Verstoß zuvor einer identifizierten natürlichen Person zugerechnet werden muss. Die entsprechende Regelung zur limitierten „Haftung“ juristischer Personen im deutschen Ordnungswidrigkeitengesetz (OWiG) ist damit europarechtswidrig. Nach der deutschen Regelung dürfen Behörden Geldbußen grundsätzlich nur gegen natürliche Personen und nur ausnahmsweise gegen Unternehmen verhängen, die juristische Personen sind, wenn der Verstoß durch eine (natürliche) Leitungsperson des Unternehmens begangen wurde (sogenanntes „Rechtsträgerprinzip“) [oder wenn die Behörde nachweisen konnte, dass untergeordnete Mitarbeiter nicht genügend beaufsichtigt wurden, was jedoch nicht Gegenstand des Prozesses vor dem EuGH war].

Nachweis eines Verstoßes durch untergeordnete Mitarbeiter genügt

Nach Auffassung des EuGH sind Unternehmen grundsätzlich für alle DSGVO-Verstöße verantwortlich, die von ihnen selbst oder in ihrem Auftrag begangen wurden. Sie können damit nicht wie bislang nur mit Bußgeldern belegt werden, wenn die Verstöße von ihren Vertretern, Direktoren oder Geschäftsführern begangen werden, sondern auch, wenn die Verstöße von irgendeiner anderen Person (z.B untergeordneten Mitarbeitern) begangen werden, die im Rahmen der Geschäftstätigkeit des Unternehmens und für dessen Rechnung handelt (sogenanntes „Funktionsträgerprinzip“). Es muss also lediglich feststehen, dass irgendein (auch: untergeordneter) Mitarbeiter einen Verstoß gegen die DSGVO begangen hat, ohne dass dieser Mitarbeiter näher bestimmt werden oder eine Leitungsperson sein muss.

Unternehmen muss aber schuldhaft gehandelt haben

Allerdings setzt eine solche Geldbuße voraus, dass das Unternehmen den Verstoß gegen die DSGVO vorsätzlich oder zumindest fahrlässig begangen hat. Geldbußen gegen Unternehmen können somit nicht verschuldensunabhängig verhängt werden. Die DSGVO sieht eine solche verschuldensunabhängige Bebußung nicht vor, sondern knüpft für die Entscheidung, ob und in welcher Höhe ein Bußgeld verhängt wird, gerade an den Verschuldensgrad an. Den Mitgliedstaaten eine solche Handhabung zu gestatten, liefe dem Ziel der einheitlichen Anwendung der DSGVO zuwider und würde zudem den Wettbewerb in der EU verfälschen.

Der Gerichtshof stellt zudem klar, dass es für ein fahrlässiges Handeln ausreicht, dass der Verantwortliche (d.h. das Unternehmen) sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, egal, ob ihm der Verstoß tatsächlich bewusst war. Außerdem stellt er klar, dass für eine Bebußung von juristischen Personen weder eine Handlung noch eine Kenntnis seitens eines ihrer Leitungsorgane vorliegen muss.

 

Zusammengefasst setzt die Verhängung von Bußgeldern gegen juristische Personen (z.B. Unternehmen) nach dem EuGH-Urteil in materieller Hinsicht Folgendes voraus:

  1. Das Unternehmen ist eine juristische Person und Verantwortlicher i.S.d. DSGVO.

  2. Es steht fest, dass irgendein Mitarbeiter des Unternehmens einen bußgeldfähigen Verstoß gegen die DSGVO begangen hat (auch wenn z.B. nicht klar ist, welcher Mitarbeiter es genau war).

  3. Das Unternehmen trifft nachweislich ein Verschulden (Vorsatz oder Fahrlässigkeit).

In diesem Fall dürfen DSGVO-Bußgelder direkt gegen das Unternehmen als juristische Person verhängt werden, die als Verantwortlicher i.S.d. DSGVO zu qualifizieren sind.

Cep-Statement

Das Urteil des EuGH war mit Blick auf die Schlussanträge des zuständigen Generalanwalts Campos Sánchez-Bordona so zu erwarten. Für juristische Personen hat es zugleich negative und positive Auswirkungen: Einerseits können deutsche Behörden nun leichter Bußgelder unmittelbar gegen juristische Personen (insb. Unternehmen) verhängen, da sie nun keinen Verstoß einer Leitungsperson mehr nachweisen müssen. Die Durchsetzung der DSGVO war für die Behörden insbesondere bei großen Unternehmen mit komplexen organisatorischen Verflechtungen aus diesem Grund oft schwierig. Die Zahl der Bußgelder gegen deutsche Unternehmen dürfte sich damit erhöhen.

Andererseits ist es aus Sicht von cep-Expertin Anja Hoffmann auch im Sinne einer besseren Akzeptanz der DSGVO durch die Unternehmen zu begrüßen, dass der Gerichtshof gleichzeitig einer verschuldensunabhängigen Verhängung von Bußgeldern einen Riegel vorgeschoben hat, die von den deutschen Aufsichtsbehörden immer wieder gefordert worden war. „Hätte der EuGH entschieden, dass Unternehmen bei jedem objektiven Datenschutzverstoß durch irgendeinen Mitarbeiter ein Bußgeld droht, würde dies über das Ziel der DSGVO hinausschießen – zumal diese bei der Verhängung von Bußgeldern zumindest ansatzweise eine Berücksichtigung des Verschuldensmaßstabs fordert“, so Hoffmann. Die Behörden müssen juristischen Personen damit weiterhin ein Verschulden (wenn auch kein Leitungsverschulden) nachweisen. Die Hürden sind aber niedrig, da ein Verschulden bereits dann zu bejahen ist, wenn das Unternehmen hätte wissen müssen, dass es gegen die DSGVO verstößt. Unklar bleibt allerdings, wann hiervon konkret auszugehen ist bzw. in welchen Fällen das Verschulden eines Mitarbeiters einem Unternehmen gegebenenfalls nicht zurechenbar ist.

Hintergrund

Die Berliner Datenschutzbehörde hatte 2019 gegen die Immobiliengesellschaft „Deutsche Wohnen SE“ wegen ausufernder Speicherung von Mieterdaten ein Bußgeld in Höhe von 14,5 Mio. Euro verhängt. Die Deutsche Wohnen hatte gegen diesen Bescheid Beschwerde eingelegt. Das KG Berlin legte dem EuGH im laufenden Verfahren zwei Fragen zur Vorabentscheidung vorgelegt. Das KG wollte zum einen wissen, ob die Mitgliedstaaten (Deutschland) die Verhängung einer Verwaltungsstrafe gegen eine juristische Person von der Bedingung abhängig machen können, dass der Verstoß gegen diese Verordnung zuvor einer identifizierten natürlichen Person zugerechnet wird. Die zweite Frage lautete, ob der sanktionierte Verstoß gegen die Bestimmungen der DSGVO vorsätzlich oder fahrlässig begangen werden muss.

Alle Nachrichten