EuGH zu Geldbußen gemäß DSGVO gegen Unternehmen
In einer lange erwarteten Entscheidung hat der EuGH sich dazu geäußert, ob und unter welchen Voraussetzungen Geldbußen gegen Unternehmen wegen Datenschutzverstößen verhängt werden können.
Was ist passiert?
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit wirft der Deutsche Wohnen SE vor, personenbezogene Daten von Mietern ihrer Tochtergesellschaften rechtswidrig zu lange gespeichert und keine Maßnahmen zu ihrer Löschung getroffen zu haben. Nach Auszug der Mieter sollen sensible Daten – wie u.a. Steuer-, Sozial- und Krankenversicherungsdaten – über die geltenden Aufbewahrungsfristen hinaus einsehbar gewesen sein. Auch nach einer Rüge durch die oberste Landesbehörde im Juni 2017 habe die Deutsche Wohnen SE den Verstoß bis ins Jahr 2019 nicht abgestellt.
In der Folge erging ein Bußgeldbescheid gegen das Unternehmen in Höhe von rund 14,55 Millionen Euro, mit der Begründung, dass die Deutsche Wohnen SE es vorsätzlich unterlassen habe, die notwendigen Maßnahmen zur Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Dabei traf die Behörde jedoch keine Feststellungen zu konkretem und schuldhaftem Fehlverhalten von Unternehmensverantwortlichen.
Grundsätze des deutschen OWi-Rechts
Im deutschen Straf- und Ordnungswidrigkeitenrecht gilt der eherne Grundsatz, dass lediglich eine schuldhafte begangene Handlung eine Sanktionierung begründen kann. Während das deutsche Strafrecht in der Konsequenz ausschließlich eine Sanktionierung natürlicher Personen kennt, können sich Ordnungswidrigkeitenverfahren unter den Voraussetzungen der §§ 9, 30, 130 OWiG auch gegen juristische Personen richten. Dafür ist erforderlich, dass einem Verantwortlichen ein konkretes und schuldhaftes Fehlverhalten mit Bezug zu den Pflichten der juristischen Person nachgewiesen wird. Mit anderen Worten: Für die Zurechnung von Fehlverhalten auf eine juristische Person bedarf es eines schuldhaften Verstoßes etwa eines Organmitglieds.
Die Datenschutzgrundverordnung (DSGVO)
Der vorliegende Bußgeldbescheid erging jedoch in Anwendung von Artikel 83 DSGVO, also einer europäischen Verordnung. Insoweit war bislang umstritten, ob die DSGVO eine hinreichende Grundlage für eine unmittelbare Verbandshaftung juristischer Personen bietet und ob sie eine Anwendung der nationalen Regelungen der §§ 9, 30, 130 OWiG über § 41 Abs. 1 BDSG sperrt.
Das erstinstanzlich zuständige LG Berlin hat sich in dem vorliegenden Verfahren zunächst für die Möglichkeit einer unmittelbaren Verbandshaftung juristischer Personen gemäß Art. 4 Nr. 7 und 8 DSGVO ausgesprochen, die sich mangels näherer Bestimmungen zur strafrechtlichen Verantwortlichkeit juristischer Personen nach den nationalen Vorschriften richte. Da es insoweit aber an Feststellungen zu konkretem und schuldhaftem Fehlverhalten von Unternehmensverantwortlichen fehlte, hat es das Verfahren per Beschluss eingestellt.
Vorabentscheidungsverfahren durch KG Berlin
Gegen diese Einstellung des Verfahrens hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Einvernehmen mit der Staatsanwaltschaft Beschwerde beim Kammergericht Berlin eingereicht, welches dem EuGH im Wege des Vorabentscheidungsverfahrens zwei Auslegungsfragen zur DSGVO vorgelegt hat:
1. Bebußung von juristischen Personen
Kann ein Bußgeldverfahren unmittelbar gegen ein Unternehmen durchgeführt werden, ohne dass es der Feststellung einer durch eine natürliche und identifizierte Person begangenen Ordnungswidrigkeit bedarf?
Der EuGH hat hierzu entschieden, dass eine Geldbuße gemäß Art. 83 Abs. 4 bis 6 DSGVO auch unmittelbar gegen ein Unternehmen gerichtet sein kann. Unternehmen könnten Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO sein. Dann müssten diese auch ordnungsrechtlich für solche Verstöße einstehen, die durch sie oder in ihrem Namen erfolgen.
Ferner hat der EuGH zu der Vorlagefrage entschieden, dass eine ordnungsrechtliche Haftung eines Unternehmens nicht nur für Verstöße von Vertretern, Leitern oder Geschäftsführern bestehe, sondern auch für Verstöße, die von jeder anderen Person im Rahmen der unternehmerischen Tätigkeit oder im Namen der juristischen Person begangen wurde.
2. Geltung des Verschuldensmaßstabs
Muss das Unternehmen den durch einen Mitarbeitenden vermittelten Verstoß schuldhaft begangen haben, oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß gegen die DSGVO aus („strict liability“)?
Der EuGH hat hierzu entschieden, dass nur solche Datenschutzverstöße zur Verhängung einer Geldbuße führen können, welche der Verantwortliche schuldhaft begangen habe. Es bedürfe des Nachweises, dass der Verstoß gegen die DSGVO vorsätzlich oder fahrlässig begangen worden sei.
Entsprechend der Beantwortung der Vorlagefrage 1 bedürfe es hierfür jedoch keines Verstoßes eines Leitungsorgans und insoweit noch nicht einmal einer Kenntnis des Leitungsorgans vom Verstoß des schuldhaft Handelnden. Zu dem Maßstab der Fahrlässigkeit führte der EuGH sodann klarstellend aus, dass es für eine Sanktionierung bereits hinreiche, dass der Verantwortliche sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm ein Verstoß gegen die DSGVO bewusst gewesen sei.
Auswirkungen des Verfahrens
Auf Grundlage dieser Entscheidung des EuGH hat das KG Berlin nun über die Beschwerde gegen die Einstellung des Verfahrens zu befinden. Über das konkrete Verfahren hinaus, kommt der Entscheidung aber auch generelle Bedeutung für die bußgeldrechtliche Praxis zu. So genügt es für eine Sanktionierung nun ausdrücklich nicht (mehr), dass lediglich ein objektiver Verstoß durch die Behörde festgestellt wird. Dieser Verstoß muss dem Unternehmen darüber hinaus über eine konkrete natürliche Person zugerechnet werden, wobei diese schuldhaft gehandelt haben muss. Angesichts der ausgesprochen niedrigen Hürden für die Annahme von Fahrlässigkeit steht aber zu befürchten, dass das Fahrlässigkeitserfordernis zu einer Leerformel verkommt. Jedenfalls aber wird es für Unternehmen zukünftig schwerer werden, sich darauf zu berufen, einen DSGVO-Verstoß nicht erkannt zu haben. Damit steigt noch einmal die Bedeutung effektiver Compliance-Maßnahmen zur Umsetzung und Einhaltung datenschutzrechtlicher Vorgaben.
Die vorstehenden Ausführungen können den Inhalt der Entscheidung aufgrund ihres Blogcharakters nur in Grundzügen und verkürzt wiedergeben. Soweit Sie als Unternehmensverantwortlicher vertieften Austausch- und Informationsbedarf zu Fragen des Datenschutzstrafrechts haben, sprechen Sie uns gerne an. So bietet unser KRAFT. Club etwa einen geeigneten Rahmen zum moderierten Austausch zu diesen Themen mit anderen Unternehmensverantwortlichen. Gerne schulen wir Sie auch im Rahmen der KRAFT. Masterclass zu Fragen des Datenschutzstrafrechts. Soweit Ihnen bereits ein Bußgeldbescheid gegen Ihr Unternehmen zugestellt wurde oder Sie zu einem solchen Verstoß angehört werden, können Sie auch im Rahmen der KRAFT. Unternehmensverteidigung auf uns zählen.
Ihre Strafverteidiger von KRAFT. Rechtsanwälte aus Mönchengladbach
Wussten Sie eigentlich, dass… der Datenschutz seine Ursprünge bereits in der Antike hat? Seit rund 2400 Jahren verpflichten sich Ärzte im Hippokratischen Eid – der als erste Regel zum Datenschutz gilt – dazu, die Geheimnisse ihrer Patienten nicht mit Dritten zu teilen. Demgegenüber fand etwa das Beichtgeheimnis erst auf dem vierten Laterankonzil im Jahr 1215 Eingang in das Kirchenrecht.