Mit einer lang erwarteten Entscheidung (C‑807/21) hat der Europäische Gerichtshof (EuGH) die Voraussetzungen geklärt, unter denen nationale Aufsichtsbehörden eine Geldbuße gegen juristische Personen wegen eines Verstoßes gegen die DS-GVO verhängen können.
Hintergrund
Im Jahr 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (Aufsichtsbehörde) mehrere Bußgelder in Höhe von insgesamt ca. 14 Millionen Euro gegen die Immobiliengesellschaft Deutsche Wohnen (DW) wegen (angeblicher) Verstöße gegen die Vorgaben der DS-GVO beim Umgang mit Mieterdaten verhängt. Das Landgericht Berlin hatte den Bußgeldbescheid für nichtig erklärt, weil die Aufsichtsbehörde – entgegen der nationalen Bestimmungen zu Bußgeldern gegen juristische Personen in § 30 Ordnungswidrigkeitengesetz (OWiG) – keine Feststellungen dazu getroffen hatte, ob und ggf. welche Leitungspersonen der DW für die Verstöße verantwortlich waren. Damit hatte sich das LG Berlin gegen Entscheidungen anderer Gerichte gestellt, die eine auf die DS-GVO gestützte Verhängung von Geldbußen gegen Unternehmen ohne Rücksicht auf die Beschränkungen des deutschen Rechts für zulässig erklärt hatten.
Das auf Beschwerde der Staatsanwaltschaft mit der Sache befasste Kammergericht Berlin (KG) legte dem EuGH deshalb im Rahmen eines sogenannten Vorabentscheidungsersuchens die Frage vor, ob die DS-GVO den zuständigen Behörden unabhängig von den Voraussetzungen des deutschen Rechts die Befugnis gibt, Geldbußen unmittelbar gegen juristische Personen zu verhängen. Außerdem wollte das KG vom EuGH wissen, ob die Verhängung eines Bußgeldes nach der DS-GVO ein Verschulden (Vorsatz oder Fahrlässigkeit) erfordert oder ob allein der objektive Datenschutzverstoß genügt („strict liability“).
Verhängung von Bußgeldern gegen juristische Personen
Wie von den meisten Experten im Vorfeld erwartet, kommt der EuGH zu dem Ergebnis, dass die in der DS-GVO für datenschutzrechtliche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen verhängt werden können. Das ergibt sich für den EuGH daraus, dass es sich bei den in Art. 83 DS-GVO als mögliche Bußgeldadressaten genannten „Verantwortlichen“ und „Auftragsverarbeitern“ nach den Begriffsbestimmungen der DS-GVO sowohl um natürliche als ausdrücklich auch um juristische Personen handeln kann. Um die einheitliche Anwendung der DS-GVO nicht zu gefährden, dürfen einzelne Mitgliedsstaaten keine zusätzlichen Voraussetzungen für die Sanktionierung bestimmter Gruppen von Verantwortlichen und Auftragsverarbeitern aufstellen. § 30 OWiG, der für die Bußgeldverhängung gegen eine juristische Person eine von einer Leitungsperson begangene Ordnungswidrigkeit als „Anknüpfungstat“ fordert, ist damit nicht vereinbar und muss in DS-GVO-Bußgeldverfahren unangewendet bleiben.
Erforderlichkeit eines Verschuldens
Mit seinem Urteil beantwortet der EuGH auch die seit den Anfangstagen der DS-GVO diskutierte Frage, ob die DS-GVO eine verschuldensunabhängige Verhängung von Bußgeldern erlaubt. Das ist nicht der Fall. Nur schuldhafte, d.h. vorsätzliche oder fahrlässige Verstöße können mit einer Geldbuße sanktioniert werden. Verschulden in diesem Sinne liegt laut EuGH vor, wenn der Verantwortliche die Rechtswidrigkeit seines Verhaltens erkennen musste. Juristischen Personen werden das (Fehl-)Verhalten und die Kenntnisse aller natürlichen Personen zugerechnet, die im Rahmen der unternehmerischen Tätigkeit für sie handeln. Leitungsorgane müssen an dem Rechtsverstoß weder beteiligt sein noch auch nur Kenntnis davon haben. In einer Parallelentscheidung vom 5. Dezember 2023 (C-683/21) hat der EuGH zudem klargestellt, dass Unternehmen unter bestimmten Voraussetzungen auch mit Bußgeldern für (schuldhafte) Datenschutzverstöße der von ihnen eingesetzten Dienstleister (Auftragsverarbeiter) belegt werden können.
Unternehmensbegriff und Konzernhaftung
Obwohl das für die Beantwortung der Vorlagefragen des KG eigentlich nicht erforderlich war, äußert sich der EuGH auch noch zu dem äußerst kontrovers diskutierten Begriff des „Unternehmens“ in Art. 83 DS-GVO. Dort ist festgelegt, dass sich die Bußgeldhöhe „im Fall eines Unternehmens“ nach dessen Jahresumsatz richtet. Umstritten war bislang, ob mit dem „Unternehmen“ die einzelne juristische Person (der „Verantwortliche“ oder „Auftragsverarbeiter“) gemeint ist, die den Datenschutzverstoß begangen hat, oder ob Art. 83 DS-GVO den „wirtschaftlichen“ Unternehmensbegriff i.S.d. Art. 101, 102 AEUV verwendet, d.h. bei konzernangehörigen Gesellschaften auf die Unternehmensgruppe abstellt. Der EuGH hat sich, wie auch die Aufsichtsbehörden, der letztgenannten Auffassung angeschlossen, die sich auf die Erwägungsgründe zu Art. 83 DS-GVO stützen kann. Für die Festsetzung von Bußgeldern gegen Konzernunternehmen ist damit grundsätzlich der Konzernumsatz und nicht der Umsatz der einzelnen Gesellschaft maßgeblich. Zugleich betont der EuGH ausdrücklich, dass die DS-GVO den „wirtschaftlichen“ Unternehmensbegriff nur für die Regelung der Bußgeldbemessung verwendet. Das dürfte als Absage an vereinzelt vertretene Auffassungen zu verstehen sein, bei einem Datenschutzverstoß durch eine konzernangehörige Gesellschaft könne ein Bußgeld auch direkt gegen die Muttergesellschaft verhängt werden.
Fazit
Mit der Entscheidung des EuGH sind einige wichtige Fragen geklärt, die die datenschutzrechtliche Praxis seit Jahren beschäftigt haben. Das bedeutet aber nicht, dass DS-GVO-Bußgeldverfahren die Gerichte zukünftig nicht mehr beschäftigen werden. Schon die enorme Höhe vieler Geldbußen für Datenschutzverstöße sorgt dafür, dass Unternehmen Bußgeldbescheide nicht klaglos hinnehmen (können). Auch rechtlich bleibt noch vieles zu klären, wie z.B. die genauen Anforderungen an die Feststellung des Verschuldens bei Datenschutzverstößen oder die Grenzen der Bußgeldhaftung für das Fehlverhalten von Auftragsverarbeitern. Und nicht zuletzt benötigt die trotz vorliegender Leitlinien des Europäischen Datenschutzausschusses weiter völlig uneinheitliche Praxis der Datenschutzbehörden bei der Bemessung von Bußgeldern dringend klare und handhabbare Vorgaben durch die Rechtsprechung.