EuGH, Urt. 5.12.2023 - C-807/21
Verschulden als Voraussetzung für Verhängung von Bußgeldern für DSGVO-Verstöße – Deutsche Wohnen
Autor: RAin Maria-Urania Dovas, LL.M., München
Aus: IT-Rechtsberater, Heft 03/2024
Aus: IT-Rechtsberater, Heft 03/2024
1. Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 DSGVO stehen einer nationalen Regelung entgegen, wonach eine Geldbuße wegen eines Verstoßes gegen die DSGVO gegen eine juristische Person als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.2. Art. 83 DSGVO ist dahin auszulegen, dass eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen Verstoß gegen die DSGVO vorsätzlich oder fahrlässig begangen hat.
DSGVO Art. 4, Art. 58 Abs. 2 und 4, Art. 83; BDSG § 41 Abs. 1 Satz 1; OWiG § 30, § 130
Mit Bescheid v. 30.10.2019 setzte die Aufsichtsbehörde gegen DW wegen des vorsätzlichen Verstoßes gegen die DSGVO eine Geldbuße i.H.v. ca. 14,5 Mio. Euro fest, gegen den die DW Einspruch beim LG Berlin einlegte, welches das Verfahren einstellte, da der Bußgeldbescheid unter so gravierenden Mängeln litt, dass er nicht als Grundlage für die Festsetzung einer Geldbuße dienen konnte (LG Berlin, Beschl. v. 18.2.2021 – [526 OWi LG] 212 JsOWi 1/20 [1/20], ITRB 2021, 81 [Dovas]). Die Staatsanwaltschaft Berlin focht diesen Beschluss beim KG an, woraufhin dieses dem EuGH im Weg eines Vorabentscheidungsersuchens zwei Fragen zur Klärung vorlegte.
Unternehmen: Bei der Bezeichnung „Unternehmen“ i.S.d. Art. 101 und 102 AEUV handle es sich um jede eine wirtschaftliche Tätigkeit ausüben der Einheit, unabhängig von der Rechtsform und Art ihrer Finanzierung. Es gehe also um eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen bestehe, und um eine einheitliche Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolge. Relevant sei dieser Begriff für den Adressaten einer Geldbuße und für die Berechnung der Geldbuße auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des betreffenden Unternehmens, nicht aber für die Frage, ob eine Geldbuße gegen einen Verantwortlichen verhängt werden könne, der eine juristische Person sei. Diese Frage sei abschließend in Art. 58 Abs. 2 und Art. 83 Abs. 1–6 DSGVO geregelt.
Geldbuße für natürliche und juristische Personen: Beim datenschutzrechtlich Verantwortlichen könne es sich sowohl um eine natürliche als auch um eine juristische Person handeln. Eine Geldbuße wegen eines Verstoßes gegen die DSGVO könne auch gegen juristische Personen verhängt werden, sofern sie die Eigenschaft eines Verantwortlichen haben. Die DSGVO kenne keine Bestimmung, die die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortlichen davon abhängig macht, dass zuvor festgestellt werde, dass der Verstoß von einer identifizierten natürlichen Person begangen worden sei.
Keine Anwendbarkeit des Rechtsträgerprinzips: Juristische Personen hafteten für Verstöße gegen die DSGVO nicht nur dann, wenn diese von ihren Vertretern, Leitern oder Geschäftsführern begangen würden, sondern auch für Verstöße, die von jeder anderen Person begangen würden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Person handelten.
Keine zusätzlichen mitgliedstaatlichen materiellen Voraussetzungen: Die DSGVO räume den Mitgliedstaaten die Möglichkeit ein, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße aufzustellen. Allerdings seien sie deshalb nicht befugt, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzusehen, die zu den Voraussetzungen in Art. 83 Abs. 1–6 DSGVO hinzuträten. Den Mitgliedstaaten werde insoweit durch den Unionsgesetzgeber kein Ermessensspielraum gelassen; für die materiellen Voraussetzungen gelte ausschließlich das Unionsrecht. Dies diene der Sicherstellung einer einheitlichen Anwendung der DSGVO, deren Zweck es zuwiderliefe, wenn den Mitgliedstaaten gestattet würde, einseitig und als erforderliche Voraussetzung für die Verhängung einer Geldbuße gegen einen Verantwortlichen, der eine juristische Person sei, zu verlangen, dass der betreffende Verstoß zuvor einer identifizierten natürlichen Person zugerechnet worden sei. Dies würde auch die Wirksamkeit und die abschreckende Wirkung von Geldbußen schwächen, die gegen juristische Personen als Verantwortliche verhängt würden.
Vorsatz und Fahrlässigkeit als relevante Kriterien: Für die Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen ein Verantwortlichen zu beachten habe, gelte ausschließlich das Unionsrecht. Art. 83 Abs. 2 DSGVO führe die Kriterien an, die dabei berücksichtigt werden müssten. Hierzu gehörten auch die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Es bestehe keine Möglichkeit, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen. Der Unionsgesetzgeber habe es nicht für erforderlich gehalten, zur Gewährleistung eines hohen Schutzniveaus vorzusehen, dass Geldbußen verschuldensunabhängig verhängt werden könnten. Art. 83 DSGVO gestatte es nicht, eine Geldbuße wegen eines Verstoßes zu verhängen, ohne dass nachgewiesen sei, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen worden sei.
Bewusstsein über die Rechtswidrigkeit des Verhaltens: Es sei klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO falle, sanktioniert werden könne, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein könne, unabhängig davon, ob ihm dabei bewusst sei, dass er gegen die Vorschriften der DSGVO verstoße. Bei einem Verantwortlichen, der eine juristische Person sei, setze die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraus.
DSGVO Art. 4, Art. 58 Abs. 2 und 4, Art. 83; BDSG § 41 Abs. 1 Satz 1; OWiG § 30, § 130
Das Problem
Die Deutsche Wohnen SE (DW) ist eine börsennotierte Immobiliengesellschaft mit Sitz in Berlin und verarbeitet mit ihren Tochtergesellschaften personenbezogene Daten der Mieter, etwa Identitätsnachweise, Steuer‑, Sozial- und Krankenversicherungsdaten und Angaben zu Vormietverhältnissen. Nachdem im Rahmen einer Vor-Ort-Kontrolle die Berliner Datenschutzaufsichtsbehörde im Juni 2017 darauf hinwies, dass nicht überprüft werden konnte, ob die Speicherung der personenbezogenen Daten zulässig und erforderlich war, und eine erforderliche Löschung entgegen datenschutzrechtlichen Bestimmungen nicht möglich war, folgte die schriftliche Aufforderung, die nicht erforderlichen Daten bis Ende 2017 zu löschen. Die DW lehnte die Löschung aus technischen und rechtlichen Gründen ab, teilte aber mit, dass ein neues System eingesetzt werden sollte.Mit Bescheid v. 30.10.2019 setzte die Aufsichtsbehörde gegen DW wegen des vorsätzlichen Verstoßes gegen die DSGVO eine Geldbuße i.H.v. ca. 14,5 Mio. Euro fest, gegen den die DW Einspruch beim LG Berlin einlegte, welches das Verfahren einstellte, da der Bußgeldbescheid unter so gravierenden Mängeln litt, dass er nicht als Grundlage für die Festsetzung einer Geldbuße dienen konnte (LG Berlin, Beschl. v. 18.2.2021 – [526 OWi LG] 212 JsOWi 1/20 [1/20], ITRB 2021, 81 [Dovas]). Die Staatsanwaltschaft Berlin focht diesen Beschluss beim KG an, woraufhin dieses dem EuGH im Weg eines Vorabentscheidungsersuchens zwei Fragen zur Klärung vorlegte.
Die Entscheidung des Gerichts
Die erste Frage zielte darauf ab, ob nach Art. 83 DSGVO die Möglichkeit bestehen muss, eine Geldbuße gegen eine juristische Person zu verhängen, ohne dass der Verstoß gegen die DSGVO zuvor einer identifizierten natürlichen Person zugerechnet wird. Zudem stellte das Gericht die Frage, welche Kriterien für die Feststellung heranzuziehen sind, dass eine juristische Person als Unternehmen für einen Verstoß gegen die DSGVO verantwortlich ist und ob nach Art. 83 DSGVO eine Geldbuße gegen eine juristische Person ohne den Nachweis verhängt werden kann, dass der ihr zugerechnete Verstoß schuldhaft begangen wurde. Der EuGH hat beide Fragen bejaht.Unternehmen: Bei der Bezeichnung „Unternehmen“ i.S.d. Art. 101 und 102 AEUV handle es sich um jede eine wirtschaftliche Tätigkeit ausüben der Einheit, unabhängig von der Rechtsform und Art ihrer Finanzierung. Es gehe also um eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen bestehe, und um eine einheitliche Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolge. Relevant sei dieser Begriff für den Adressaten einer Geldbuße und für die Berechnung der Geldbuße auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des betreffenden Unternehmens, nicht aber für die Frage, ob eine Geldbuße gegen einen Verantwortlichen verhängt werden könne, der eine juristische Person sei. Diese Frage sei abschließend in Art. 58 Abs. 2 und Art. 83 Abs. 1–6 DSGVO geregelt.
Geldbuße für natürliche und juristische Personen: Beim datenschutzrechtlich Verantwortlichen könne es sich sowohl um eine natürliche als auch um eine juristische Person handeln. Eine Geldbuße wegen eines Verstoßes gegen die DSGVO könne auch gegen juristische Personen verhängt werden, sofern sie die Eigenschaft eines Verantwortlichen haben. Die DSGVO kenne keine Bestimmung, die die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortlichen davon abhängig macht, dass zuvor festgestellt werde, dass der Verstoß von einer identifizierten natürlichen Person begangen worden sei.
Keine Anwendbarkeit des Rechtsträgerprinzips: Juristische Personen hafteten für Verstöße gegen die DSGVO nicht nur dann, wenn diese von ihren Vertretern, Leitern oder Geschäftsführern begangen würden, sondern auch für Verstöße, die von jeder anderen Person begangen würden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Person handelten.
Keine zusätzlichen mitgliedstaatlichen materiellen Voraussetzungen: Die DSGVO räume den Mitgliedstaaten die Möglichkeit ein, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße aufzustellen. Allerdings seien sie deshalb nicht befugt, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzusehen, die zu den Voraussetzungen in Art. 83 Abs. 1–6 DSGVO hinzuträten. Den Mitgliedstaaten werde insoweit durch den Unionsgesetzgeber kein Ermessensspielraum gelassen; für die materiellen Voraussetzungen gelte ausschließlich das Unionsrecht. Dies diene der Sicherstellung einer einheitlichen Anwendung der DSGVO, deren Zweck es zuwiderliefe, wenn den Mitgliedstaaten gestattet würde, einseitig und als erforderliche Voraussetzung für die Verhängung einer Geldbuße gegen einen Verantwortlichen, der eine juristische Person sei, zu verlangen, dass der betreffende Verstoß zuvor einer identifizierten natürlichen Person zugerechnet worden sei. Dies würde auch die Wirksamkeit und die abschreckende Wirkung von Geldbußen schwächen, die gegen juristische Personen als Verantwortliche verhängt würden.
Vorsatz und Fahrlässigkeit als relevante Kriterien: Für die Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen ein Verantwortlichen zu beachten habe, gelte ausschließlich das Unionsrecht. Art. 83 Abs. 2 DSGVO führe die Kriterien an, die dabei berücksichtigt werden müssten. Hierzu gehörten auch die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Es bestehe keine Möglichkeit, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen. Der Unionsgesetzgeber habe es nicht für erforderlich gehalten, zur Gewährleistung eines hohen Schutzniveaus vorzusehen, dass Geldbußen verschuldensunabhängig verhängt werden könnten. Art. 83 DSGVO gestatte es nicht, eine Geldbuße wegen eines Verstoßes zu verhängen, ohne dass nachgewiesen sei, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen worden sei.
Bewusstsein über die Rechtswidrigkeit des Verhaltens: Es sei klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO falle, sanktioniert werden könne, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein könne, unabhängig davon, ob ihm dabei bewusst sei, dass er gegen die Vorschriften der DSGVO verstoße. Bei einem Verantwortlichen, der eine juristische Person sei, setze die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraus.