Der Gerichtshof der Europäischen Union (EuGH) hat mit seinem Urteil vom 5. Dezember 2023 (Rechtssache C-807/21) einige grundlegende Unklarheiten zur Auslegung der Datenschutzgrundverordnung (DSGVO) ausgeräumt. Mit der heutigen Entscheidung hat der EuGH einer verschuldensunabhängigen Bußgeldhaftung bei Datenschutzverstößen (Prinzip der "strict liability") eine klare Absage erteilt. Zudem stellt der EuGH klar, dass juristische Personen nicht nur für Verstöße ihrer Vertreter, Leitungspersonen oder Geschäftsführer, sondern auch für Verstöße aller anderen Mitarbeitenden haften. Schließlich weitet der EuGH den Haftungsrahmen für die Bemessung von Bußgeldern deutlich aus.

Aber der Reihe nach:

Worum ging es?

In dem deutschen Verfahren (Rechtssache C-807/21) wandte sich der Immobilienkonzern Deutsche Wohnen SE, der inzwischen Teil des Vonovia Konzerns ist, gegen ein Bußgeld von mehr als EUR 14 Mio. Der Deutsche Wohnen wurde vorgeworfen, dass sie personenbezogene Daten von Mietern länger als erforderlich speichere.

Die Gesellschaft geriet erstmals im Jahr 2017 ins Visier der Berliner Datenschutzaufsichtsbehörde. Der Berliner Beauftragte für Datenschutz und Informationssicherheit stellte fest, dass die Deutsche Wohnen persönliche Mieter-Daten verarbeitete – unter anderem Informationen zur Sozial- und Krankenversicherung und Informationen über finanzielle Verhältnisse -, diese Daten aber länger als erforderlich speichere und nicht mehr benötigte Daten mangels eines Löschkonzepts nicht lösche.

Bei einer weiteren Prüfung drei Jahre später stellte die Datenschutzaufsichtsbehörde in 15 von 16 Stichproben eine unzulässige Speicherung von Mieterdaten fest und verhängte gegen das Unternehmen ein Bußgeld in Höhe von 14,5 Millionen Euro. Die Behörde warf der Deutsche Wohnen insbesondere vor, vorsätzlich keine Maßnahmen zur Datenlöschung getroffen zu haben.

Gegen diesen Bußgeldbescheid legte die Deutsche Wohnen Einspruch vor dem Landgericht Berlin ein. Das Landgericht stellte das Verfahren wegen „gravierender Mängel“ des Bußgeldbescheides ein (vgl. Beschluss des LG Berlin vom 18.02.2021 – 212 Js-OWi 1/20).

Das daraufhin angerufene Kammergericht Berlin legte dem Europäischen Gerichtshof (EuGH) zahlreiche Fragen im Zusammenhang mit der Bebußung von Unternehmen im Rahmen eines Vorabentscheidungsersuchens vor und setze das anhängige Verfahren bis zur Entscheidung des EuGH aus (vgl. KG Berlin, Vorabentscheidungsersuchen vom 06.12.2021 – 3 Ws 250/21).

Grundsatzentscheidung des EuGH.

Der EuGH hat am 5. Dezember 2023 mehrere grundlegende Feststellungen zur Auslegung der DSGVO getroffen.

Der EuGH hat zunächst klargestellt, dass juristische Personen nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. Eine Feststellung, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde, sei hingegen nicht erforderlich. Die Verhängung von Geldbußen für Verstöße nach der DSGVO setze nicht einmal die Kenntnis seitens des Leitungsorgans der juristischen Person voraus. Demnach gilt das im deutschen Recht in § 30 OWiG verankerte Rechtsträgerprinzip nicht für Bußgelder, die im Zusammenhang mit Datenschutzverstößen nach Art. 83 DSGVO verhängt werden.

Für die Bemessung des Bußgeldes ist nach Auffassung des EuGH der wettbewerbsrechtliche Unternehmensbegriff maßgeblich. Somit richtet sich die Höhe der Geldbuße nicht nach dem Umsatz des Unternehmens, dem der Datenschutzverstoß zuzurechnen ist, sondern nach dem (weltweiten) Jahresumsatz des Konzerns, dem das Unternehmen angehört.

Schließlich hat der EuGH einer verschuldensunabhängigen Bußgeldhaftung, dem Prinzip der „strict liability“, eine klare Absage erteilt. Der EuGH hat festgestellt, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist nach Auffassung des EuGH dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, und zwar unabhängig davon, ob ihm dabei bewusst war, dass das beanstandete Verhalten gegen die Bestimmungen der DSGVO verstößt.

Konsequenzen für die Praxis.

Das Urteil des EuGH vom 5. Dezember hat weitreichende Konsequenzen. Die Sanktionierung von Datenschutzverstößen wird für die Behörden erheblich vereinfacht, denn ein Nachweis des Datenschutzverstoßes durch eine identifizierte natürliche Person ist nach den Feststellungen des EuGH nicht mehr erforderlich.

Auf Grund der erheblichen Ausweitung der Bemessungsgrundlage für Bußgelder dürfte die Höhe der Bußgelder wegen Datenschutzverstößen zukünftig signifikant steigen.

Die unternehmensinterne Prävention von Datenschutzverstößen gewinnt mit dieser Entscheidung nochmals an Bedeutung. Eine wesentliche Säule dieser Präventionsmaßnahmen ist die (regelmäßige) Qualifikation der Mitarbeitenden im Umgang mit personenbezogenen Daten und dem Datenschutz.