Deutsche Wohnen muss möglicherweise eine Millionenbuße wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) zahlen. Die unabhängige oberste Landesbehörde Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte im Oktober 2020 gegen das Unternehmen einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro erlassen.
Das Unternehmen soll personenbezogene Daten der Mieter der Immobilien fehlerhaft verwaltet haben, so der Vorwurf der obersten Landesbehörde Berliner Beauftragte für Datenschutz und Informationsfreiheit. Zu den Daten gehörten unter anderem Identitätsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen. Die Behörde wirft dem Unternehmen vor, nicht mehr benötigte Daten weiterhin gespeichert zu haben und es versäumt zu haben, angemessene Maßnahmen zur Löschung zu ergreifen.
Nachdem das Unternehmen erfolgreich vor dem Landgericht (LG) Berlin gegen die Sanktion geklagt hatte, hat die Staatsanwaltschaft Berlin die Entscheidung vor dem Kammergericht (KG) Berlin angefochten. Das KG Berlin legte dem Europäischen Gerichtshof (EuGH) daraufhin zwei Fragen zur Vorabentscheidung vor, weshalb sich nun der EuGH mit dem Fall beschäftigt.
Worüber der EuGH zu entscheiden hat
Im Wesentlichen möchte das KG Berlin vom EuGH klären lassen, ob eine Geldbuße gegen eine juristische Person (z.B. GmbH oder AG) verhängt werden kann, ohne dass dieser Verstoß zuvor einer natürlichen Person (z.B. einem Mitarbeiter:in) zugerechnet werden muss. Im Kern betrifft diese Frage das deutsche Haftungskonzept für juristische Personen.
§ 30 OWiG sieht vor, dass ein Bußgeld gegen ein Unternehmen nur dann verhängt werden kann, wenn eine Leitungsperson (also etwa der Vorstand oder ein vertretungsberechtigter Gesellschafter) eine dem Unternehmen zugerechnete fahrlässige oder vorsätzliche Tat begangen hat.
Fraglich ist aber, ob § 30 OWiG bei Datenschutzverstößen über Anwendung findet oder die sog. Grundsätze des supranationalen Kartellsanktionsrechts. Wäre letzteres der Fall, würde ein objektiver Verstoß gegen Datenschutzrecht ausreichen, um Bußgelder direkt gegen das Unternehmen zu verhängen – ein Verstoß einer natürlichen Person wäre nicht zwingend erforderlich.
Das KG will also vom EuGH nun vor allem geklärt wissen, ob die strengen Voraussetzungen des Ordnungswidrigkeitenrechts gelten oder bereits ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß ausreicht.
Im Wortlaut lauten die beiden Vorlage-Fragen wie folgt:
1. Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ord-nungswidrigkeit bedarf?
2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 – 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?
Das sagt der EuGH-Generalanwalt
Der Generalanwalt Manuel Campos Sánchez-Bordon hatte vergangene Woche in seinen Schlussanträgen festgestellt, dass Unternehmen unmittelbare Adressaten von Geldbußen sein können.
Jedoch sei eine direkte Sanktionierung gegen Unternehmen nur dann möglich, wenn ein Mitarbeiter vorsätzlich oder fahrlässig gegen die DSGVO verstößt. In diesem Fall genügt bereits das rechtswidrige Verhalten eines einzelnen Mitarbeiters, um ein Bußgeld gegen das Unternehmen zu verhängen. Der Generalanwalt ist der Ansicht, dass es auch eines konkreten Nachweises einer Aufsichtspflichtverletzung bedarf, damit das schuldhafte Handeln eines Mitarbeiters, der nicht der Führungsebene angehört, den Leitungsorganen des Unternehmens zugerechnet und somit sanktioniert werden kann.
Der Generalanwalt äußerte sich dazu wie folgt:
“86. Nach alledem schlage ich dem Gerichtshof vor, dem KG Berlin wie folgt zu antworten:
Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung
ist dahin auszulegen, dass
die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.
Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.”
Es bleibt spannend
Es ist derzeit unbekannt, wann der EuGH sein endgültiges Urteil fällen wird. Obwohl der EuGH nicht an die Schlussanträge des Generalanwalts gebunden ist, folgt er in vielen Fällen der entsprechenden Rechtsauffassung.
Die Entscheidung in diesem Verfahren wird für Deutschland jedenfalls eine grundlegende Weichenstellung bedeuten. Denn bejaht der EuGH die beiden Vorlage-Fragen, hätte dies zur Folge, dass sich das Bußgeldrisiko für Unternehmen (weiter) erhöht.
Quellen:
Zum Vorlagebeschluss: VIS Berlin – 3 Ws 250/21 3 Ws 250/21 – 161 AR 84/21 | KG Berlin 3. Senat für Bußgeldsachen | EuGH-Vorlage | Vorabentscheidungsersuchen an den EuGH zur Auslegung der Datenschutz-Grundverordnung: Unternehmen …
