EuGH zu Deutsche Wohnen: DSGVO-Bußgelder setzen Verschulden voraus – Behörden müssen ihre Bußgeldpraxis ändern

1. Zusammenfassung der Entscheidung

Der EuGH stellt klar, dass eine juristische Person (als Verantwortlicher) grundsätzlich sowohl für Verstöße haften kann, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern, als auch von jeder sonstigen Person im Unternehmen begangen werden. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche unterliegt auch nicht der Voraussetzung, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde. Die rein akzessorische Bußgeldhaftung eines Unternehmens nach Maßgabe des OWiG wird nach Ansicht des EuGH somit durch die DSGVO überschrieben.

Der EuGH stellt sich aber auf den Standpunkt, dass lediglich schuldhaft begangene DSGVO-Verstöße mit einem Bußgeld geahndet werden können; eine rein objektiv vorliegende Verletzung einer DSGVO-Vorschrift genügt nicht für die Verhängung eines Bußgeldes. Der Gerichtshof erteilt somit dem bisweilen von den Datenschutzbehörden vertretenen Konzept einer strict liability eine klare Absage. Unklar und interpretationsbedürftig bleibt der EuGH hingegen leider bei der Frage, auf wessen Verschulden es dabei ankommt: des jeweils zuständigen Leitungsorgans oder des faktisch handelnden Mitarbeiters (dazu sogleich).

2. Verfahrensgang

Das Immobilienunternehmen "Deutsche Wohnen" aus Berlin wehrt sich gegen einen Bußgeldbescheid der Berliner Datenschutzbehörde (BlnBDI) wegen vermeintlicher Verstöße gegen die DatenschutzGrundverordnung (DSGVO). Konkret ging es dabei darum, dass nicht mehr erforderliche Daten fortgesetzt (und daher unzulässigerweise) gespeichert wurden und das Unternehmen es unterließ, entsprechende Maßnahmen zur Löschung zu treffen. Im Oktober 2020 erließ die Behörde daher einen Bußgeldbescheid in Höhe von über 14 Millionen Euro.

Nachdem das Unternehmen erfolgreich vor dem Landgericht (LG) Berlin gegen die Sanktion geklagt hatte, legte die zuständige Staatsanwaltschaft Berlin vor dem Kammergericht (KG) Berufung ein. Das KG legte dem EuGH daraufhin zwei Fragen zur Vorabentscheidung vor.

3. Rechtlicher Hintergrund

Im Zentrum dieser Auseinandersetzung steht die enorm praxisrelevante Frage, unter welchen Voraussetzungen Bußgelder gegen Unternehmen aufgrund von DSGVO-Verstößen verhängt werden können. In concreto hatte der EuGH darüber zu befinden, ob § 30 OWiG bei der Verhängung von Bußgeldern gegen Unternehmen Anwendung finde (und falls ja, wie dieser auszulegen sei).

So setzt § 30 OWiG voraus, dass Geldbußen gegen Unternehmen nur dann verhängt werden können, wenn der jeweils in Frage stehende Verstoß mindestens fahrlässig durch die Leitungsebene des Unternehmens begangen worden ist. Der bloße Verstoß eines (nicht leitungsbefugten) Mitarbeiters genügt grundsätzlich nicht. Aufgrund des strafähnlichen Charakters einer solchen Verbandsgeldbuße bedarf es zudem hinreichend konkreter Feststellungen, dass der jeweils in Frage stehende Verstoß einer Leitungsperson (als Anknüpfungs- bzw. Bezugstat) zugerechnet werden kann. Die Verhängung von Bußgeldern gegen Unternehmen nach Maßgabe von § 30 OWiG erfordert daher (in erster Linie seitens der Datenschutzaufsichtsbehörden) erhöhten Aufklärungs- und Begründungsaufwand.

Vor diesem Hintergrund war die BlnBDI der Ansicht, dass § 30 OWiG bei der Verhängung von Geldbußen gegen Unternehmen wegen möglicher DSGVO-Verstöße nicht anwendbar sei und derartige Sanktionen unmittelbar und unabhängig von einem nachgewiesenen Verschulden verhängt werden könnten. Der Nachweis einer Aufsichtspflichtverletzung oder eines sonstigen vorwerfbaren Verhaltens sei nicht nötig. 

"Deutsche Wohnen" war hingegen der Ansicht, dass Bußgelder nur dann gegen Unternehmen verhängt werden können, wenn die Behörde ein vorwerfbares Handeln der Unternehmensleitung nachweise (beispielswiese in Form der Verletzung entsprechender Aufsichtspflichten).

Das LG Berlin urteilte dabei erstinstanzlich, dass § 30 OWiG auch im Falle von DSGVO-Verstößen umfassend anwendbar sei, sodass die Sanktionierung einer juristischen Person lediglich dann möglich sei, wenn eine Leitungsperson – und nicht irgendein Mitarbeiter – einen Verstoß gegen die DSGVO zu verantworten hat und der Umstand durch die Aufsichtsbehörde nachgewiesen wird.   

4. Vorlagefragen

Vor diesem Hintergrund wollte das KG vom EuGH geklärt wissen:

• ob gegen die juristische Person eine Sanktion verhängt werden kann, ohne dass zuvor die Verantwortlichkeit einer natürlichen Person festgestellt zu werden braucht;
• ob der geahndete Verstoß in jedem Fall vorsätzlich oder fahrlässig begangen worden sein muss oder ob ein rein objektiver Verstoß gegen eine Verpflichtung genügt.

5. Kernaussagen der Entscheidung

Verhängung von Bußgeldern gegen Unternehmen

Der EuGH stellt einleitend (und weitgehend offensichtlich) zunächst klar, dass sich aus der Begriffsbestimmung des Verantwortlichen in Art. 4 Nr. 7 DSGVO ergebe, dass Geldbußen aufgrund von DSGVO-Verstößen grundsätzlich auch gegen juristische Personen verhängt werden können (Rn. 43). 

Auf dieser Feststellung aufbauend führt der Gerichtshof nahezu lapidar weiter aus, dass juristische Personen Adressat eines Bußgelds sein können, die durch Verstöße seitens ihrer Vertreter, Leiter oder Geschäftsführer begangen wurden, sowie auch durch von jedem anderen Mitarbeiter begangene Verstöße begangen worden sind (Rn. 44). Für die Verhängung eines Bußgelds sei es ferner obsolet festzustellen, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde.

Der Gerichtshof schließt die Beantwortung dieser ersten Vorlagefrage mit der Feststellung, dass die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer solchen Geldbuße zu beachten hat, in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten aufgeführt sind. Gemäß Art. 288 Abs. 2 AEUV haben die Mitgliedstaaten dafür Sorge zu tragen, dass keine innerstaatlichen Vorschriften die Tragweite einer solchen Verordnung beeinträchtigen (Rn. 45, 52). 

Eingeschränkte Bedeutung des „Unternehmensbegriffs“ in der DSGVO

In diesem Zusammenhang stellt der EuGH in überzeugender Weise klar, dass der Begriff des Unternehmens, wie er in ErwG 150 in Bezug auf die kartellrechtlichen Regelungen der Art. 101 und 102 AEUV verwendet wird, für das Ob der direkten Bußgeldhaftung irrelevant ist. Der EuGH schränkt die Bedeutung des Begriffs ein auf die Zumessung der Höhe der Geldbuße. 

Erforderlichkeit eines schuldhaften Verhaltens

In Beantwortung der zweiten Vorlagefrage leitet der EuGH im Wesentlichen aus Art. 83 DSGVO her, dass ein Bußgeld lediglich dann verhängt werden kann, wenn der jeweils zugrunde liegende DSGVO-Verstoß vorsätzlich oder fahrlässig vom Verantwortlichen begangen worden ist (Rn. 75, 78). Als Maßstab gibt der Gerichtshof dabei vor, dass ein entsprechendes Verschulden anzunehmen sei, wenn der Verantwortliche sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, ungeachtet dessen ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (Rn. 76). 

Sofern es sich bei dem Verantwortlichen um eine juristische Person handelt, statuiert der EuGH dabei (interpretationsbedürftig), dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (Rn. 77).

In einer weiteren Entscheidung zu DSGVO-Bußgeldern ebenfalls vom 5. Dezember 2023 (Rs. C-683/21) statuierte der EuGH ferner, dass Verantwortliche für etwaige DSGVO-Verstöße eingesetzter Auftragsverarbeiter sanktioniert werden können; dies jedenfalls, sofern der Auftragsverarbeiter im Rahmen der vom Verantwortlichen erteilten Weisungen agiert bzw. „vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche [einer solchen Verarbeitung] zugestimmt hätte“ (Rn. 85).

6. Bewertung / Einordung der Folgen für die Praxis

Keine Anwendung von § 30 OWiG

Die Feststellung, dass für die Verhängung eines Bußgelds weder ein Leitungsorgan gehandelt haben noch die konkret handelnde Person identifiziert werden muss, wird im Ergebnis dazu führen, dass die mit § 30 OWiG einhergehenden Einschränkungen bei der Verhängung von Bußgeldern aufgrund von DSGVO-Verstößen zukünftig keine direkte Anwendung finden können. Der EuGH hat hierzu klargestellt, dass jeglicher im Unternehmen begangene DSGVO-Verstoß (egal ob vom Geschäftsführer oder einem nicht führungsbefugten Mitarbeiter) grundsätzlich zu einem Bußgeld führen könne (ein Verschulden vorausgesetzt; vgl. unten). Für eine Anwendung von § 30 OWiG bleibt hier demnach kaum noch Raum.

Nachweis eines Verschuldens

Nach Ansicht des EuGH ist daher in erster Linie maßgeblich, dass den Verantwortlichen im Hinblick auf den eingetretenen DSGVO-Verstoß (egal von welcher Person im Unternehmen begangen) ein Verschulden trifft. Unklar und interpretationsbedürftig bleibt der EuGH hingegen leider bei der Frage, auf wessen Verschulden es dabei ankommt bzw. wessen Verschulden dem Verantwortlichen zuzurechnen ist, wenn es sich um eine juristische Person handelt: des jeweils zuständigen Leitungsorgans oder des faktisch handelnden Mitarbeiters.

Anknüpfen an das Verschulden eines Leitungsorgans

Die besseren Argumente sprechen dabei dafür, dass es auf das Verschulden eines Leitungsorgans ankommen muss. So bezieht sich der EuGH ausdrücklich auf das Verschulden des Verantwortlichen. Im Falle einer juristischen Person kann der Verantwortliche jedoch lediglich durch seine Leitungsorgane (oder anderweitig Bevollmächtigte) handeln. Insofern kann ihm auch nur ein Verschulden eben dieser leitungsbefugten Personen zugerechnet werden. Auf das (individuelle) Verschulden des jeweils handelnden Mitarbeiters kommt es demgemäß nicht an. Dies steht insoweit auch nicht im Widerspruch zu der Feststellung, dass grundsätzlich jeder im Unternehmen begangene DSGVO-Verstoß (also auch von nicht leitungsbefugten Mitarbeitern) mit einem Bußgeld gegen das Unternehmen geahndet werden kann. Zu prüfen ist in einem solchen Fall sodann, ob dem jeweiligen Leitungsorgan ein Verschulden an diesem Verstoß (in der Regel in Form der Verletzung einer entsprechenden Aufsichtspflicht) angelastet werden kann (in diese Richtung auch die Schlussanträge des Generalanwalts, Rn. 59). Eine solche Lesart der Entscheidung lässt sich auch mit der Äußerung des Gerichts in Einklang bringen, dass die Verhängung eines Bußgelds keine Handlung oder Kenntnis eines Leitungsorgans voraussetzt (es könnte somit auch ein fahrlässiges Unterlassen einer von der DSGVO gebotenen Maßnahme genügen). 

Ob die Entscheidung die Verhängung von DSGVO-Bußgeldern gegenüber juristischen Personen erleichtern wird, bleibt abzuwarten. In jedem Fall werden die Aufsichtsbehörden zukünftig intensiver aufklären und nachweisen müssen, dass dem Verantwortlichen (bzw. einem seiner Leitungsorgane) ein Verschulden an dem zu ahnenden DSGVO-Verstoß trifft.

Abkehr der Behörden von strict-liability-Praxis

Auch wenn der EuGH (formal) davon ausgeht, dass es keiner individualisierten Feststellung der durch eine natürliche Person begangenen Anknüpfungs- bzw. Bezugstat erfordert, um gegen das jeweilige Unternehmen ein Bußgeld zu verhängen, führt das gleichzeitig postulierte Verschuldenserfordernis jedoch unweigerlich dazu, dass (jedenfalls inzident) geprüft werden muss, ob einem Leitungsorgan zumindest Fahrlässigkeit im Hinblick auf den jeweils in Frage stehenden DSGVO-Verstoß angelastet werden kann. Dies erfordert eine vertiefte Auseinandersetzung mit dem eingetretenen DSGVO-Verstoß sowie der Frage, ob die Unternehmensleitung hieran ein Verschulden trifft, etwa da sie ihren Überwachungspflichten nicht nachgekommen ist oder es unterlassen hat, die Implementierung entsprechender Datenschutzmaßnahmen vorzunehmen bzw. entsprechend anzuweisen, so dass sich im Ergebnis Teile des Regelungsgedanken des § 30 OWiG in Art. 83 DSGVO wiederfinden und deshalb europarechtlich beachtet werden müssen. Der von den Behörden bisher praktizierte Rückzug auf eine strict liability ist vor dem EuGH durchgefallen.

Haftung für DSGVO-Verstöße durch Auftragsverarbeiter

Gewisser Einordnung bedürfen zudem die Aussagen des EuGH im Parallel-Fall C-683/21, dass Verantwortliche für durch ihre Auftragsverarbeiter begangene DSGVO-Verstöße mit einem Bußgeld sanktioniert werden können. Diesbezüglich ist zunächst zu beachten, dass sich die Entscheidung auf im Namen des Verantwortlichen durchgeführte Verarbeitungsvorgänge beschränkt (vgl. Rn. 60, 86). Hiermit scheint daher in erster Linie auf die (grundsätzliche) Zulässigkeit etwaig durchgeführter Verarbeitungen i.S.v. Art. 6 DSGVO abgestellt zu werden, also ob für die Verarbeitung ein Erlaubnistatbestand vorliegt. Dies ist nachvollziehbar, da der Auftragsverarbeiter als „verlängerte Werkbank“ des Verantwortlichen personenbezogene Daten nach dessen Weisungen verarbeitet und der Verantwortliche für diese Verarbeitungen eine Rechtsgrundlage benötigt. Daher ist auch nur einleuchtend, dass sich der Verantwortliche einer möglichen Haftung für das Fehlen einer solchen Rechtsgrundlage durch eine Auslagerung von Verarbeitungstätigkeiten an Dienstleister nicht entziehen kann. Die Sanktionierung auch dieser Verstöße ist jedoch vom Verschulden des Verantwortlichen abhängig, mithin vom Verschulden eines seiner Leitungsorgane (vgl. oben). 

Diese Aussagen können jedoch nicht auf Konstellationen übertragen werden, in denen ein Auftragsverarbeiter gegen ihn genuin treffende gesetzliche Pflichten verstößt, etwa Art. 32 oder Art. 44 ff. DSGVO. In derartigen Fällen erscheint eine Sanktionierbarkeit des Verantwortlichen unangemessen, selbst wenn die Verstöße des Auftragsverarbeiters im Zusammenhang mit jeweils ausgelagerten Verarbeitungsvorgängen stehen sollten. Insoweit sind auch keine Schutzlücken zu befürchten, da gegen den Auftragsverarbeiter selbst ein Bußgeld verhängt werden kann.

Ungeachtet dessen wird bei der Verhandlung von Auftragsverarbeitungsverträgen dieses erweiterte Haftungsrisiko des Verantwortlichen nunmehr berücksichtigt und eingepreist werden müssen.