Fact Sheet Datenschutz: EuGH-Urteil vom 05.12.2023, C-807/21
Die zuständige Aufsichtsbehörde hatte eine solche i. H. v. 14.385.000 € gegen die DW verhängt, da Letztere es angeblich unterlassen habe, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder aus anderen Gründen unrechtmäßig gespeicherter personenbezogener Daten von Mieter*innen zu treffen.
Verfahrensgang:
Die DW legte gegen den Bescheid Einspruch ein, woraufhin das Kammergericht Berlin das Verfahren einstellte. Dagegen ging die Staatsanwaltschaft Berlin vor und erreichte die Vorlage zum EuGH. Dieser befasste sich sodann insbesondere mit zwei Fragen:
- Können Geldbußen gegen juristische Personen als Verantwortliche verhängt werden, ohne dass der Verstoß gemäß Art. 83 Abs. 4–6 DSGVO zuvor einer identifizierten natürlichen Person zugerechnet worden ist?
- Darf die Geldbuße – für den Fall, dass die erste Frage bejaht wird – nur dann verhängt werden, falls nachgewiesen worden ist, dass die juristische Person/das Unternehmen den Verstoß vorsätzlich oder fahrlässig begangen hat?
Beantwortung der Vorlagefragen:
Die erste Frage rührt daher, dass das vorlegende Gericht davon ausging, dass Ordnungswidrigkeiten nach deutschem Recht nur von natürlichen Personen begangen werden können und der Ansicht war , dass die Verhängung einer Geldbuße gegen eine juristische Person somit davon abhängt, ob ihr das Handeln einer natürlichen Person, nämlich eines Organmitglieds oder Repräsentanten, zugerechnet werden kann.
Dieser Annahme hat der EuGH eine Absage erteilt. Der nach der DSGVO Verantwortliche ist weit definiert und erfasst ausdrücklich auch juristische Personen. Ziel ist es, „einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten“. Eine Differenzierung nach natürlichen oder juristischen Personen findet nicht statt, Voraussetzung für die Haftung nach der DSGVO ist einzig, dass die Person „allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide[t]“. Somit gilt, dass vorbehaltlich der Bestimmungen von Art. 83 Abs. 7 DSGVO (betreffend Behörden und öffentliche Stellen) jede Person, die diese Voraussetzungen erfüllt, für Verstöße, die von ihr oder in ihrem Namen begangen worden sind, haftet, unabhängig davon, ob es sich um eine natürliche oder juristische Person handelt. Die materiellen Voraussetzungen für die Verhängung von Bußgeldern sind abschließend – ohne Ermessensspielraum – geregelt. Es liefe dem Zweck der DSGVO, unionsweit ein gleichmäßiges und hohes Datenschutzniveau zu gewährleisten und sicherzustellen, zuwider, falls es den Mitgliedstaaten gestattet wäre, die Verhängung einer Geldbuße davon abhängig zu machen, dass der Verstoß einer identifizierten natürlichen Person zuzurechnen ist.
Die zweite Frage gründet sich darauf, dass Art. 83 DSGVO keine Vorgaben dazu macht, ob es für die Ahndung von Verstößen nach Abs. 4–6 DSGVO mit einer Geldbuße erforderlich ist, dass die Begehung vorsätzlich oder zumindest fahrlässig erfolgte.
Die teilweise verbreitete Annahme, nach der bewusst ein Ermessenspielraum gelassen worden sei, um Geldbußen ohne vorsätzlichen oder fahrlässigen Verstoß zu ermöglichen, verneinte der EuGH. Erneut wies er darauf hin, dass bezüglich der materiellen Voraussetzungen, die bei der Verhängung einer Geldbuße zu beachten sind, nur das Unionsrecht Anwendung findet. Es bestehe kein Ermessensspielraum. Aus Art. 83 Abs. 2 DSGVO ergebe sich, dass nur schuldhafte, d. h. vorsätzliche oder fahrlässige Verstöße eine Geldbuße nach sich ziehen können. Diese Lesart werde durch die Systematik und die Zwecke der DSGVO bestätigt. So ermögliche es das Sanktionssystem der DSGVO, dass die nach den Umständen des Einzelfalls geeignetste Sanktion verhängt werde. Zudem solle unionsweit ein gleichmäßiges, hohes Datenschutzniveau sichergestellt werden, wofür es erforderlich sei, dass Schutzvorschriften unionsweit gleichmäßig und einheitlich angewendet werden, was wiederum erfordere, dass Aufsichtsbehörden über gleiche Befugnisse verfügen, um gleiche Sanktionen verhängen zu können.
Abschließend stellt der EuGH noch klar, dass ein Verantwortlicher auch dann sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, egal ob ihm dabei bewusst war, dass es gegen die DSGVO verstößt. Im Falle einer juristischen Person setze die Anwendung von Art. 83 DSGVO zudem keine Handlung und noch nicht einmal Kenntnis des Leitungsorgans voraus.
Fazit:
- Unternehmen als juristische Personen sind einer unmittelbaren Haftung nach der DSGVO ausgesetzt. Sie haften für jeden Verstoß, der von einer beliebigen Person begangen wird, die im Rahmen der unternehmerischen Tätigkeit und im Namen des Unternehmens handelt. Nationale Vorschriften, die eine zurechenbare Anknüpfungstat einer Leitungsperson oder einer*eines Repräsentant*in fordern (z. B. § 41 BDSG i. V. m. §§ 30, 130 OWiG), finden keine Anwendung.
- Dabei ist nicht einmal erforderlich, dass es sich um Mitarbeiter*innen des Unternehmens handelt. In dem parallel anhängigen Fall C-683/21 entschied der EuGH, dass Verantwortliche auch für Datenschutzverstöße eines von ihm beauftragten „Auftragsverarbeiters“ sanktioniert werden können, soweit die Tätigkeit von der erteilten Weisung gedeckt war.
- Um die Haftung zu bejahen, genügt es nicht, dem Unternehmen einen objektiven Pflichtverstoß zuzuordnen. Es bedarf eines vorsätzlichen oder fahrlässigen Verhaltens. Es kommt keine verschuldensunabhängige Haftung von Unternehmen („strict liability“) zur Anwendung.
- Die Bemessung eines umsatzabhängigen Bußgeldes richtet sich bei konzernangehörigen Gesellschaften nach dem Vorjahresumsatz des gesamten Konzerns.
To-dos:
- Die in Verarbeitungsprozesse eingebundenen Mitarbeiter*innen müssen in datenschutzrechtlicher Hinsicht geschult werden und sich der Pflichten aus der DSGVO bewusst sein, um eine Haftung des Unternehmens zu vermeiden.
- Auch die Tätigkeit von Auftragsverarbeitern muss auf ihre Datenschutzkonformität hin kontrolliert werden, da auch insofern Haftungsrisiken drohen.
- Die einzuhaltenden datenschutzrechtlichen Vorgaben sollten klar kommuniziert und ihre Befolgung überwacht werden.
Autorin
Andrea Seuß
Tel: +49 40 288 01 3187