FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet.

Zentral ging es dabei um den Rahmen für die datenschutzrechtliche Haftung des Verantwortlichen. Vor allem war bis dato fraglich, ob ein Verschulden des Verantwortlichen Voraussetzung für die Haftung nach der DSGVO ist. Dies wurde nun durch den EuGH bestätigt. Nach Ansicht des EuGH kann gegen den Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Ein Verschulden liegt nach ständiger Rechtsprechung des EuGH wiederum dann vor, wenn der Verantwortliche hätte erkennen können, dass sein Verhalten rechts- (bzw. hier: datenschutz)widrig war.

Nach Ansicht des EuGH muss durch die Aufsichtsbehörden kein konkretes Fehlverhalten der Geschäftsführung oder eines anderen Vertreters des Verantwortlichen nachgewiesen werden. Es reiche aus, wenn der Verstoß von einer Person begangen wird, die für den Verantwortlichen tätig ist (z.B. eines angestellten Mitarbeiters).

2. Was war Gegenstand des ursprünglichen Bußgeldbescheides?

Im Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) gegen das Unternehmen Deutsche Wohnen SE ein Bußgeld iHv. 14,5 Millionen Euro verhängt (Pressemitteilung der BlnBDI). Der Vorwurf der Behörde lautete, dass die Deutsche Wohnen SE personenbezogene Mieterdaten zwischen Mai 2018 und März 2019 unrechtmäßig lange aufbewahrt sowie keine entsprechenden Maßnahmen zur Löschung der nicht (mehr) benötigten Daten getroffen habe. Im Juni 2017 wurden die Verstöße von der BlnBDI im Rahmen einer Vor-Ort-Kontrolle festgestellt. Im März 2019 erließ die Behörde das Bußgeld wegen Verstoßes gegen Art. 5 Abs. 1 lit. a, c, e sowie Art. 25 Abs. 1 und Art. 6 Abs. 1 DSGVO. Dabei stellte die BlnBDI fest, dass der Verstoß vorsätzlich begangen worden sei.

Gegen die Entscheidung erhob die Deutsche Wohnen SE Klage beim Landgericht Berlin (LG Berlin).

3. Was hatte das LG Berlin entschieden?

Das LG Berlin hatte den Bußgeldbescheid mit Beschluss vom 18.02.2021 ((526 OWi LG) 212 Js-OWi 1/20 (1/20)) aufgehoben. Nach Auffassung des Landgerichts litt der Bußgeldbescheid der BlnBDI unter so "gravierenden Mängeln", dass er nicht als Grundlage für die Festsetzung eines Bußgeldes dienen konnte. Nach Auffassung des LG Berlin hatte die Aufsichtsbehörde die Vorgaben des deutschen Ordnungswidrigkeitenrechts (OWiG) nicht ausreichend berücksichtigt. Die BlnBDI habe insbesondere versäumt, die Anforderungen an den Erlass von Geldbußen aus §§ 30, 130 OWiG zu beachten. Danach wäre es über die Anforderungen der DSGVO hinaus, erforderlich gewesen, dass die BlnBDI einer natürlichen Person, als Leitungsperson oder gesetzlichen Vertreter*in der Deutsche Wohnen SE, ein Verschulden nachweist.

Gegen den Beschluss des LG Berlin legte die Berliner Staatsanwaltschaft in Einvernehmen mit der BlnBDI sofortige Beschwerde beim Kammergericht (KG) ein.

4. Mit welcher Begründung legte die Staatsanwaltschaft Berlin Beschwerde gegen den Beschluss des LG Berlin ein?

Die Berliner Staatsanwaltschaft und die BlnBDI argumentierten in ihrer Beschwerde, dass die Auslegung des OWiG durch das LG Berlin gegen die Vorgaben der DSGVO verstoße (Pressemitteilung der BlnBDI).

Durch Erwägungsgrund 150 der DSGVO würde klargestellt, dass es für den Erlass eines Bußgeldes nicht auf ein individuelles Verschulden der Leitungspersonen oder gesetzlichen Vertreter*innen ankommt. Vielmehr sei der funktionale Unternehmerbegriff und das Funktionsträgerprinzip aufgrund des Willens des europäischen Gesetzgebers anwendbar. Daraus folge, dass der konkret handelnde Mitarbeitende des Unternehmens nicht ermittelt und auch keine Leitungsperson sein müsse. Wenn die Behörde die interne Verantwortlichkeit für einen Verstoß aufklären müsste, könnte dies die Effektivität der Ordnungswidrigkeitenverfahren erheblich gefährden. Es bestünde zudem die Gefahr einer europaweit deutlich unterschiedlichen Sanktionierungspraxis von Verstößen gegen die DSGVO. Entsprechend seien die Paragrafen §§ 30, 130 OWiG in Bezug auf DSGVO-Bußgelder nicht anwendbar. Die Position der BlnBDI wurde auch von der Datenschutzkonferenz ausdrücklich unterstützt (Pressemitteilung der DSK).

Das KG nahm die Beschwerde an und stellte fest, dass vor einer Entscheidung in der Sache zwei Fragen zur Auslegung von Art. 83 DSGVO geklärt werden müssen. Es setzte daher das Verfahren aus und legte dem EuGH am 6.12.2021 zwei Fragen zur Vorabentscheidung vor (KG, Entscheidung vom 6.12.2021, 3 Ws 250/21, 3 Ws 250/21 - 161 AR 84/21).

5. Welche Vorlagefragen wurden dem EuGH von dem KG im Rahmen des Vorabentscheidungsverfahrens vorgelegt?

Das KG legte dem EuGH zwei rechtliche Fragen zur Auslegung des Art. 83 Abs. 4 bis 6 DSGVO vor, die wie folgt lauteten:

1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, [...] dass unter Erweiterung des § 30 OWiG zugrunde liegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?
2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss [...] oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

 

6. Welche Auffassung vertrat der Generalanwalt beim EuGH?

In seinen Schlussanträgen vom 27. April 2023 ging der Generalanwalt am EuGH Campos Sánchez-Bordona davon aus, dass anders als im OWiG vorgesehen, ein Bußgeld nach der DSGVO nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Personen abhinge. Einer juristischen Person seien zudem alle Verstöße zuzurechnen, "die von natürlichen Personen (Mitarbeitern im weiteren Sinne) begangen wurden, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln." Nach Einschätzung des Generalanwaltes könne der Erlass eines Bußgeldes nicht, wie vom OWiG vorgesehen, von einem nachweisbaren Handeln bzw. Verschulden einer Leitungsperson oder gesetzlichen Vertreter*in abhängig gemacht werden.

7. Wie beantwortete der EuGH die Vorlagefragen (Langfassung)?

Der EuGH entschied entsprechend der Schlussanträge des Generalanwalts, dass eine juristische Person für Verstöße haftet, die natürliche Personen im Rahmen ihrer Tätigkeit für diese juristische Person begehen. Nach dem EuGH muss für den Erlass eines Bußgeldes kein Verschulden eines Vertreters oder der Leitungsebene vorliegen. Aus dem nationalen Verfahrensrecht dürfen sich nach Ansicht des EuGH keine weiteren materiellen Voraussetzungen für den Erlass von Bußgeldern ergeben.

Entsprechend bejahte der EuGH die erste Vorlagefrage und bestätigte, dass die Vorgaben der DSGVO einer nationalen Regelung entgegenstehen, nach denen eine Geldbuße nur dann gegen eine juristische Person als Verantwortliche verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.

Zugleich stellte der EuGH fest, dass nach Art. 83 DSGVO immer auch ein Verschulden des Verantwortlichen vorliegen muss. Dieses liegt nach Ansicht des EuGH dann vor, wenn der Verantwortliche "sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte." Der EuGH verweist in diesem Zusammenhang auf seine bestehende Rechtsprechung zum funktionalen Unternehmensbegriff aus Art. 101 und 102 AEUV und dem Wettbewerbs-/Kartellrecht (EuGH, Urteil vom 18. Juni 2013, Schenker & Co. u. a., C‑681/11, Rn. 37; Urteil vom 25. März 2021, Lundbeck/Kommission, C‑591/16 P, Rn. 156, und Urteil vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C‑601/16 P, Rn. 97).

Ein kurzer Blick in die relevante Rechtsprechung verdeutlicht, dass das Verschulden von Unternehmen dabei unabhängig davon festgestellt wird, ob eine einzelne natürliche Person vorsätzlich oder fahrlässig gehandelt hat. Insbesondere sind für ein Verschulden keine Handlung und nicht einmal Kenntnis seitens einer Leitungsperson oder gesetzlichen Vertreter*in des Unternehmens erforderlich.

Stattdessen kommt es darauf an, ob das Unternehmen als juristische Person den Verstoß vernünftigerweise hätte erkennen müssen. Relevant hierfür können je nach Fall diverse Umstände sein, z.B. ob der Verstoß von der internen Rechtsabteilung als solcher identifiziert wurde, ob das Unternehmen bereits auf den Verstoß hingewiesen wurde oder ob es hierzu bereits eindeutige Positionen der Aufsichtsbehörden oder Gerichte gibt.

In Bezug auf die zweite Vorlagefrage ging der EuGH daher davon aus, dass ein objektiv nachweisbarer Verstoß allein nicht ausreicht, um eine Geldbuße nach Art. 83 DSGVO zu erlassen und dass zusätzlich ein Verschulden des Verantwortlichen nachgewiesen werden muss.

8. Die Positionen der Verfahrensbeteiligten

Sowohl die Vertreter der Deutsche Wohnen SE als auch die Berliner Aufsichtsbehörde haben nach dem Urteil Stellungnahmen veröffentlicht.

Position der Vertreter der Deutsche Wohnen SE

Latham & Watkins sehen die Entscheidung in ihrer Pressemitteilung (hier abrufbar) als wichtigen Erfolg, da der EuGH eine verschuldensunabhängige Haftung nach DSGVO abgelehnt hat. Zudem heißt es in der Pressemitteilung:

" If data protection authorities impose fines directly on companies under the GDPR, the CJEU ruling states that this requires proof of intentional or negligent actions by representatives, directors, managers, or other persons acting in the course of the business and on behalf of a legal person."

Position der Berliner Aufsichtsbehörde

Die BlnBDI sieht die Bußgeldpraxis der deutschen Aufsichtsbehörden bestätigt (Pressemitteilung). Anders als die Vertreter der Deutsche Wohnen SE, nimmt die BlnBDI an, dass einem Unternehmen der Verstoß der Mitarbeitenden zugerechnet werden muss, "ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen."

Die BlnBDI scheint sich nicht daran zu stören, dass der EuGH ein nachweisbares Verschulden des Verantwortlichen als Voraussetzung für ein Bußgeld nach Art. 83 DSGVO sieht und verweist darauf, dass ein vorsätzliches Handeln bereits im ursprünglichen Bußgeldbescheid festgestellt wurde.

9. Wie geht es weiter (Folgen für die Praxis)?

Nach dem EuGH gilt nun, dass für den Erlass eines Bußgeldes zunächst ein vorsätzliches oder fahrlässiges Verhalten des Verantwortlichen nachgewiesen werden muss. Dabei kommt es im Zusammenhang mit den Verstößen von Unternehmen aber ausdrücklich nicht auf das Wissen oder Handeln von Leitungspersonen oder zuvor identifizierten natürlichen Personen an.

„Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt.“

Diese Ansicht des EuGH mag man als sehr streng begreifen. Für die Praxis ist Unternehmen jedoch zu raten, die Vorgaben des EuGH im eigenen Compliance-Management gebührend zu berücksichtigen.

Für den EuGH steht im Fokus, ob das Unternehmen den Verstoß vernünftigerweise hätte erkennen können. Hierbei sind verschiedenste Kriterien zu berücksichtigen, wie etwa öffentliche Aussagen oder Stellungnahmen von Behörden. Was darunter zu verstehen ist, lässt sich bereits jetzt aus der kartellrechtlichen Rechtsprechung des EuGH herleiten.

In einem Urteil (C-591/16 P) geht der EuGH etwa davon aus, dass es allein darauf ankomme, ob das Unternehmen erkennen konnte, dass sein Verhalten wettbewerbswidrig war, und nicht, darauf, ob das Unternehmen dies tatsächlich erkannt hat.

Nach der Stellungnahme der Generalanwältin Juliane Kokott in der Rechtssache C‑681/11 kann z.B. von größeren Unternehmen die Kenntnis der einschlägigen Bekanntmachungen und Leitlinien der Europäischer Behörden verlangt werden. Anwaltlicher Rechtsrat, soweit er qualitative Mindestanforderungen erfüllt, kann nach Ansicht der Generalanwältin sogar zu einem schuldausschließenden Verbotsirrtum führen.