Bußgeld
DSGVO
Urteil
In dem seit 2019 laufenden Verfahren gegen Deutsche Wohnen SE gibt es nun mit der Entscheidung des EuGH Klarheit bezüglich der Frage der verschuldensunabhängigen Bußgeldern.
Bevor wir auf die Relevanz des Urteils und seine möglichen Folgen eingehen, möchten wir Ihnen einen kurzen Rückblick auf den Fall geben.
Bußgeld der BInBDI gegen Deutsche Wohnen
Bei einer Vor-Ort-Prüfung hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) im Juni 2017 festgestellt, dass das Unternehmen personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speicherte, welches keine Möglichkeit vorsah zu prüfen, ob die Speicherung der Daten erforderlich und zulässig ist bzw. nicht mehr erforderliche Daten zu löschen. Zu diesen Daten gehörten u.a. Identitätsnachweise, Bonitätsnachweise, Gehaltsbescheinigungen, Arbeitsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen. Darin sah die BlnBDI einen Verstoß gegen Art. 25 Abs. 1, Art. 5 Abs. 1 lit. a, c und e sowie Art. 6 Abs.1 DSGVO.
Aufgrund der Verstöße verhängte die BlnBDI mit Bußgeldbescheid vom 30. Oktober 2019 ein Bußgeld in Höhe von 14,5 Mio. EUR. Die Deutsche Wohnen habe es danach unter anderem zu unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mieterinnen und Mietern zu treffen. Das DSGVO-Portal berichtete damals über den Fall.
Einspruch gegen das Bußgeld
Die Deutsche Wohnen legte gegen den Bußgeldbescheid Einspruch ein. Den Einspruch begründete das Unternehmen neben Einwänden zu tatbestandlichen Voraussetzungen und Rechtsfolgen insbesondere damit, dass bereits ein Verfahrenshindernis bestehe, da der Bußgeldbescheid die Deutsche Wohnen als Betroffene führe, was im Ordnungswidrigkeitenrecht so jedoch nicht vorgesehen sei.
Damit hatte die Deutsche Wohnen auch Erfolg – das zuständige Berliner Landgericht erklärte im Einspruchverfahren den Bescheid zugunsten der Deutschen Wohnen SE für unwirksam, da nach Auffassung des Gerichts nach deutschem Ordnungswidrigkeitenrecht juristische Personen nur dann direkt sanktioniert werden können, wenn den Unternehmensverantwortlichen ein konkretes Fehlverhalten – entsprechend dem gesetzlichen „Rechtsträgerprinzip“ gemäß § 30 OWiG – nachgewiesen werden kann. Ein solches Fehlverhalten konnte vorliegend seitens der Aufsichtsbehörde nicht nachgewiesen werden, sodass das Gericht den Bescheid aufhob.
Beschwerde der BInBDI beim Kammergericht Berlin
Die BlnBDI reichte daraufhin im Einvernehmen mit der Staatsanwaltschaft Beschwerde beim Kammergericht Berlin ein. Die zusätzliche Kammer setzte das Verfahren vorerst aus, und wandte sich im Wege eines Vorabentscheidungsersuchens an den EuGH, um zwei zentrale Fragen zur Auslegung von Art. 83 Abs. 4 – 6 DSGVO zu klären.
Im Kern wollte das KG Berlin vom EuGH wissen,
1. ob Geldbußen nach der DSGVO direkt gegen rechtswidrig agierende Unternehmen verhängt werden können,
2. und ob ein Unternehmen den von einem Mitarbeitenden verschuldeten Verstoß schuldhaft begangen haben muss, oder ob für eine Sanktionierung bereits eine zurechenbare objektive Pflichtenverletzung ausreicht (sog. „strict liability“).
Nach Auffassung des Generalanwalts können Unternehmen unmittelbare Adressaten von Geldbußen sein. Dies sei nicht nur in mehreren Bestimmungen der DSGVO vorgesehen, sondern stellt nach Aussage des Generalanwalts auch einen der Schlüsselmechanismen dar, um die Wirksamkeit der DSGVO zu gewährleisten. Dem Generalanwalt nach ergibt sich dies aus dem Wortlaut einzelner Normen der DSGVO. Insbesondere die Art. 4, 58 und 83 DSGVO lassen darauf schließen, dass Sanktionen – insbesondere Geldbußen – direkt gegen juristische Personen verhängt werden können. Die Frage, ob das deutsche Ordnungswidrigkeitengesetz, insbesondere der § 30 OWiG, die Anforderungen der DSGVO diesbezüglich hinreichend berücksichtigt, ließ der Generalanwalt offen und verwies dabei auf das LG Berlin, welches die Frage noch hinreichend klären muss.
Der Sanktionierung muss ein vorsätzliches oder fahrlässiges Handeln eines Mitarbeitenden des Unternehmens vorausgegangen sein. So reicht bereits ein rechtswidriges Verhalten eines einzelnen Beschäftigten aus, um gegen das Unternehmen eine entsprechende Geldbuße zu verhängen. So bedarf es nach Ansicht des Generalanwaltes auch eines konkreten Nachweises einer Aufsichtspflichtverletzung, damit ein schuldhaftes Handeln eines Beschäftigten, welcher nicht der Führungsriege angehört, überhaupt den Leitungsorganen zugerechnet und damit sanktioniert werden kann.
Der Generalstaatsanwalt verneinte die vorgelegte Frage, ob bereits eine objektive Pflichtverletzung ausreiche, um ein Bußgeld zu verhängen. Er führte aus, dass Aufsichtsbehörden keine verschuldensunabhängigen Geldbußen gegen Unternehmen aussprechen können, da einer Geldbuße stets ein zuzurechnendes Verschulden vorausgehen muss. Was zur Konsequenz hat, dass Aufsichtsbehörden zumindest ein Verschulden im Rahmen des Bußgeldverfahrens feststellen müssen.
Entscheidung des EuGH
Mit der Entscheidung (Az. C-807/21) vom 5. Dezember 2023 legt sich der EuGH fest, dass Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 der DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Außerdem wurde entschieden, dass Art. 83 der DSGVO dahin auszulegen ist, dass eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Der EuGH ist in seiner Entscheidung dem Schlussantrag des Generalanwalts weitgehend gefolgt. Das Unionsrecht und damit die DSGVO sind nicht aus dem Blickwinkel des deutschen Ordnungswidrigkeitenrechts auszulegen. Vielmehr sind die Sanktionsregelungen des Art. 83 DSGVO autonom so auszulegen, dass die Geldbußen „wirksam, verhältnismäßig und abschreckend“ sind. Sie richten sich gegen den Verantwortlichen, der den Datenschutzverstoß zu verantworten hat, und das ist das Unternehmen.
Das Kammergericht Berlin ist nun gefordert darüber zu entscheiden, in welchem Umfang die nationalen Vorschriften zum Bußgeldverfahren im OWiG mit dem europäischen Verständnis von der Festsetzung von Geldbußen vereinbar sind und ob die Geldbuße in der festgesetzten Höhe gerechtfertigt war.
Der EuGH hat sich in dem Verfahren auch mit der Frage des Unternehmensbegriffs und der daraus zu bemessenden Höchstsumme für ein Bußgeld beschäftigt. In der Entscheidung wird der kartellrechtliche Unternehmensbegriff für Bußgeldverfahren bekräftigt. Damit richtet sich die Berechnung des Bußgelds am vorherigen Jahresumsatz der wirtschaftlichen Einheit, dem das Unternehmen zugehört.