DSGVO-Bußgelder sind möglich gegen Unternehmen, wenn diese ein Verschulden trifft. Ein Fehlverhalten einzelner Mitarbeiter muss nicht nachgewiesen sein, so der EuGH. Ein Urteil, das beide Beteiligten als Erfolg reklamieren – zu Recht?
Die Wohnungsgesellschaft Deutsche Wohnen SE hat 140.000 Wohnungen im Bestand, seit der Übernahme durch die Vonovia SE ist das Unternehmen mit rund 550.000 Wohnungen Teil des größten deutschen Wohnungskonzerns. Der Wert der Immobilien beläuft sich auf rund 90 Milliarden Euro. Diese Größe verpflichtet: Wer derart viele und grundlegende Daten über das Leben seiner Mieter sammelt, muss ein ordentliches Datenschutzmanagement betreiben.
Datenschutzaufsichtsbehörden stellen sicher, dass solche Vermieterkonzerne wie gesetzmäßig Daten verarbeiten, damit die Mieter geschützt werden. Kommt es wie bei Deutsche Wohnen zu Verstößen, können Maßnahmen angeordnet werden, um abzuhelfen. In über 80 Prozent der Fälle werden diese Maßnahmen angeordnet, ohne dass es zu Bußgeldern kommt. Werden Anordnungen aber wie vorliegend jahrelang nicht umgesetzt, billigt das Unternehmen, dass die Grundrechte seiner Mieter dauerhaft verletzt werden. Dann liegt es nahe, ein Bußgeld zu verhängen, um den begangenen Verstoß zu ahnden. Art. 83 Datenschutzgrundverordnung (DSGVO) ermächtigt Aufsichtsbehörden dazu, gegen den datenschutzschutzrechtlich Verantwortlichen Bußgelder zu verhängen. Ist der Verantwortliche eine juristische Person, muss diese das Bußgeld zahlen.
EuGH lässt Unternehmensverschulden für DSGVO-Bußgeld genügen
Die Deutsche Wohnen SE erhielt von der Berliner Beauftragten für Datenschutz und Informationsfreiheit einen solchen Bußgeldbescheid – die Strafe belief sich auf empfindliche 14,5 Millionen Euro. Das wollte Deutsche Wohnen nicht zahlen und griff den Bescheid gerichtlich an. Zuständig sind die Strafgerichte, da der Verstoß gegen die DSGVO in Deutschland als Ordnungswidrigkeit behandelt wird und der Bußgeldbescheid nach dem Ordnungswidrigkeitengesetz (OWiG) ergeht. Gegen den Bescheid kann zunächst Einspruch eingelegt werden. Lehnt die Aufsichtsbehörde den Einspruch ab, übermittelt die Staatsanwaltschaft den Fall an das zuständige Gericht.
Wegen der Höhe des Bußgeldes (ab 100.000 Euro) war das (Berliner) Landgericht für den Bescheid gegen die Deutsche Wohnen zuständig. Dieses stellte das gesamte Bußgeldverfahren ein, weil zuvor kein Verstoß einer natürlichen Person, wie einem konkreten Geschäftsführer oder Mitarbeiter der Deutsche Wohnen SE, festgestellt worden war. Dies verlange aber das deutsche OWiG. Das im Beschwerdeverfahren mit dem Fall befasste Kammergericht (KG) hatte Zweifel an der Vereinbarkeit der OWiG-Vorschriften mit der DSGVO und legte den Fall dem Europäischen Gerichtshof (EuGH) vor.
Der entschied Anfang Dezember, dass die Bußgeldhaftung des Unternehmens nicht davon abhängt, ob zuvor der Verstoß einer natürlichen Person als Unternehmensvertreter festgestellt worden ist (Urt. v. 05.12.2023, Az. C‑807/21). Zugleich urteilten die Luxemburger Richter, dass die Verhängung eines Bußgeldes stets ein Verschulden voraussetzt – im Fall einer juristischen Person also ein Unternehmensverschulden.
Ein Urteil – zwei Gewinner?
Sowohl die Berliner Beauftragte für Datenschutz und Informationsfreiheit als auch die Prozessvertreter der Deutsche Wohnen SE verbuchten das Urteil als Erfolg für ihre Seite. Und tatsächlich lässt sich sagen: Auf den ersten Blick sprechen die beiden Kernaussagen des Urteils für jeweils eine Partei. Schaut man aber genauer hin, stellt die Entscheidung insgesamt alles andere als gute Nachrichten für Unternehmen dar, die sich offenkundig nicht an die Vorgaben der DSGVO halten.
Datenschutzaufsichtsbehörden dürften ihre Praxis in der Antwort auf die erste Vorlagefrage bestätigt sehen: Um ein Bußgeld für einen feststehenden Verstoß zu verhängen, muss nicht der konkrete Mitarbeiter im Unternehmen gefunden werden, der die Daten rechtswidrig verarbeitet hat. Es muss sich auch nicht um einen Repräsentanten des Unternehmens im Sinne des § 30 OWiG gehandelt haben.
Die Unternehmensvertreter haben sich aber über die Antwort auf die zweite Vorlagefrage erleichtert gezeigt: Die DSGVO erlaubt laut EuGH keine verschuldensunabhängige Bußgeldhaftung. Allerdings sind die aus dem Kartellrecht stammenden Anforderung an das Verschulden derart streng, dass es sich für die Unternehmen um einen Pyrrhussieg handelt. Das zeigt auch die weite Bemessung von Bußgeldern. Deren Höhe richtet sich nach der Leistungsfähigkeit der juristischen Person als Unternehmenseinheit. Damit kann nicht auf eine kleine Tochtergesellschaft abgestellt werden; die Jahresumsätze eines Konzerns oder einer Unternehmensgruppe sind entscheidend.
Was genau hat der EuGH entschieden?
Juristische Personen haften für Datenschutzverstöße ihrer Mitarbeiter, egal welcher Ebene. Das gilt auch für Auftragnehmer: Erfasst sind alle, die im Namen der juristischen Person und im Rahmen ihrer geschäftlichen Tätigkeit handeln. Daraus folgt in der Konsequenz, dass Unternehmen nicht für Handlungen fremder Dritter haften, etwa die Datenverarbeitung durch eine Cyber-Attacke. Auch eigene Mitarbeiter, die ihre Befugnisse überschreiten, handeln nicht im Rahmen der geschäftlichen Tätigkeit ihres Arbeitgebers. Ein Verstoß des Unternehmens kann aber vorliegen, wenn deutlich wird, dass keine hinreichenden Maßnahmen zur Verhinderung solcher Zugriffe vorgesehen wurden.
Für das Verschulden stellt der EuGH auf die juristische Person insgesamt als Verantwortliche ab und gibt hierfür eine Testfrage vor, ob mindestens Fahrlässigkeit vorliegt: Konnte sich die juristische Person über die Rechtswidrigkeit – nicht notwendig DSGVO-Widrigkeit – ihres Handelns im Unklaren sein?
Zudem hat der EuGH dafür gesorgt, dass die Maßstäbe nicht durch nationale Einflüsse verwässert werden: Er hat klargestellt, dass EU-Mitgliedstaaten nur Verfahrensregeln für Datenschutz-Bußgelder aufstellen können. Sie haben aber keine Regelungsbefugnis für inhaltliche Voraussetzungen wie Tatbestandsmerkmale.
Kein Paradigmenwechsel: Kartellrecht als Vorbild
Obwohl diese Grundsätze für den Datenschutz eine wichtige Klarstellung bedeuten, sind sie nicht neu: Kartellrechtliche Bußgelder sind seit Jahrzehnten durch ähnliche Grundsätze geprägt. So hat der EuGH schon 2016 klargestellt, dass die Frage, unter welchen Voraussetzungen ein Bußgeld verhängt wird, allein vom Unionsrecht abhängt und dass er selbst bezüglich Rechtsfragen die Letztentscheidungsbefugnis hat (Urt. v. 21.07.2016, Az. C-542/14).
Auch die übrigen Ausführungen zur Unternehmenshaftung entspringen seiner ständigen Rechtsprechung zum Kartellrecht. Hiernach haftet eine juristische Person in ihrer Gesamtheit für alle Personen, die berechtigt ist, für das Unternehmen tätig zu werden – gerade nicht nur für ihre Inhaber oder Geschäftsführer (Urt. v. 16.02.2017, Az. C-95/15 P).
Für den Verschuldensmaßstab zitiert der EuGH in der Deutsche-Wohnen-Entscheidung sogar seine kartellrechtliche Rechtsprechung. Schaut man sich diese näher an, wird deutlich, dass die Bewertungsgrundlage nicht nur die Tatsachen bilden, die der Datenverarbeitung an sich zu Grunde liegen, sondern auch ihr wirtschaftlich-rechtlicher Zusammenhang, d.h. die Folgen der Datenverarbeitung für die wirtschaftlichen Aktivitäten und Organisationsstrukturen eines Unternehmens.
Die kartellrechtliche Rechtsprechung zeigt auch, wie das Verschulden einer juristischen Person zugerechnet werden kann, ohne einen konkreten Mitarbeiter identifizieren zu müssen. Da dort auf die juristische Person als Gesamtheit abgestellt wird, kommt es auf jeden abstrakten Mitarbeiter, gleich welcher Position, an. Ergibt sich aus den Tatsachen und dem wirtschaftlich-rechtlichen Zusammenhang, dass Mitarbeiter von den wesentlichen Tatsachen des Verstoßes Kenntnis hatten, handelt das Unternehmen mit Vorsatz. Wenn der Verantwortliche nach einer aufsichtsbehördlichen Anordnung darauf verzichtet, diese zu befolgen, wird der Vorsatz schon allein anhand der fehlenden Umsetzung trotz Kenntnis des Bescheids feststellbar sein. Wer konkret von dem Bescheid wusste, ist irrelevant. Hätten Mitarbeiter aufgrund der Organisation und Compliance-Bemühungen des Unternehmens von den wesentlichen Tatsachen bzw. deren wirtschaftlich-rechtlicher Bedeutung wissen müssen? Dann liegt Fahrlässigkeit vor.
Keine Rückkehr zum deutschen Bußgeldrecht
Auf die Frage nach einer möglichen Exkulpation gibt die weitere kartellrechtliche Rechtsprechung des EuGH Antworten: Eine Haftungsbefreiung gibt es nicht automatisch, wenn man sich Rechtsrat einholt; an größere Unternehmen ist ein strengerer Maßstab zu stellen, diese verfügen über mehr Mittel zur Prüfung der Rechtslage (vgl. EuG, Urt. v. 12.12.2012 – T-332/09). Losgelöst von dieser Rechtsprechung ist eine Exkulpation denkbar, wenn nationales Recht die Datenverarbeitung erlaubt, aber unionsrechtlich infrage gestellt wird und dem EuGH hierzu Fragen vorliegen. Wenn nationale Gerichte sich über das Recht im Unklaren sind, muss diese Rechtsunsicherheit auch Unternehmen zugutekommen.
Betrachtet man diese Kartellrechtsprechung des EuGH wird deutlich, dass kein Raum für Wertungen des deutschen Rechts bleibt. Teile der Beratungspraxis meinen dennoch, es bedürfe einer Aufsichtspflichtverletzung der Leitungsebene nach deutschem Recht (§ 130 OWiG), sonst hätte die juristische Person den Datenschutzverstoß nicht zu verantworten. Das habe der EuGH in diesem Urteil schließlich nicht explizit ausgeschlossen.
Diese Schlussfolgerung übersieht jedoch, dass der EuGH abschließende Maßstäbe für die Bußgeldhaftung entwickelt hat, die vom nationalen Recht unbeeinflusst bleiben. § 130 OWiG wird deshalb auch auf Ebene des Verschuldens nicht zum Zuge kommen können. Die Mitgliedstaaten haben hierfür keine Regelungsbefugnis. Hinzu tritt, dass es nach der vom EuGH in Bezug genommenen kartellrechtlichen Rechtsprechung für das Verschulden gerade nicht ausschließlich auf die Leitungsebene ankommt.
Wie geht es weiter?
Damit ist die Entscheidung kein Erfolg für Unternehmen. Zwar hat der EuGH der verschuldensunabhängigen Haftung eine Absage erteilt. Es sind in Deutschland aber auch keine Fälle bekannt, in denen eine Aufsichtsbehörde ein Bußgeld wegen einer Handlung ohne Verschulden verhängt hat. Das Urteil deshalb als Erfolg zu reklamieren, geht an der Realität vorbei.
Die Berliner Richter müssen diese Maßstäbe nun auf die Datenschutzverstöße der Deutsche Wohnen SE anwenden – und dabei die §§ 30 und 130 OWiG im Lichte der Rechtsprechung des EuGH verstehen.
Deutsche Wohnen kann diese Entscheidung nicht durch eine höhere Instanz überprüfen lassen, der Rechtsweg ist nach dem KG erschöpft. Denn dieses urteilt im Beschwerdeverfahren nur über die Eröffnung des Verfahrens, nachdem das LG Berlin dieses eingestellt hatte. Eine vertiefte materielle Auseinandersetzung mit den Maßstäben des EuGH könnte daher erst beim LG Berlin erfolgen. Gegen diese Entscheidung können die Verfahrensbeteiligten dann im Rechtsbeschwerdeverfahren vorgehen. Dann urteilt das KG letztinstanzlich als Revisionsinstanz (§ 79 III 1 OWiG). Anders als im Kartellrecht gibt es im Datenschutz keinen spezialisierten Rechtsweg zu den Oberlandesgerichten.
Dr. Markus Wünschelbaum ist Referent beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Beitrag wurde nicht in dienstlicher Eigenschaft verfasst und gibt ausschließlich persönliche Auffassungen des Autoren wieder.
Bußgeld-Urteil gegen Deutsche Wohnen: . In: Legal Tribune Online, 19.12.2023 , https://www.lto.de/persistent/a_id/53453 (abgerufen am: 21.11.2024 )
Infos zum Zitiervorschlag