Europäischer Gerichtshof entscheidet zu deutscher Bußgeldpraxis – beide Seiten jubeln

Der Fall hatte hohe Wellen geschlagen und für breite mediale Aufmerksamkeit gesorgt: Mehr als 14 Millionen Euro Bußgeld sollte die Deutsche Wohnen SE zahlen – bis heute eines der höchsten von deutschen Aufsichtsbehörden verhängten Bußgelder überhaupt. Das war im Jahr 2020. Nach Ansicht der Berliner Datenschutzaufsichtsbehörde hatte der Immobilienriese Daten von Mieter*innen weitaus länger gespeichert als dies erforderlich gewesen wäre.

Zur Erinnerung: Die Verarbeitung personenbezogener Daten ist ein Eingriff in das Grundrecht auf Schutz personenbezogener Daten nach Art. 8 EU-Grundrechtecharta und nur dann und nur so lange rechtmäßig, wie sie zur Erreichung eines vor Beginn der Verarbeitung definierten, legitimen Zwecks erforderlich ist. Die Verarbeitung muss also durch eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO legitimiert sein. Weiterhin sind stets die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO zu beachten. Art. 5 Abs. 1 lit. c DSGVO unterstreicht die Erforderlichkeit der Notwendigkeit der Datenverarbeitung, Art. 5 Abs. 1 lit. e DSGVO die verpflichtende Speicherbegrenzung auf das objektiv erforderliche Maß.

Auch das Speichern der Daten von Mieter*innen stellt eine Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 1 und Nr. 2 DSGVO dar. Werden personenbezogene Daten nicht mehr benötigt, sind sie datenschutzkonform zu löschen. Die Speicherung über das erforderliche Maß hinaus fortzusetzen, egal ob beabsichtigt nach dem Motto, „wer weiß wozu wir die noch gebrauchen können“, oder unbeabsichtigt aufgrund fehlender Organisation (fehlendes Löschkonzept, fehlendes Datenschutzmanagement) ist somit nicht rechtmäßig und begründet einen Verstoß, der nach Art. 83 Abs. 5 lit. a DSGVO Bußgelder auslösen kann, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ zu sein haben (Art. 83 Abs. 1 DSGVO).

Die Deutsche Wohnen SE hatte es laut Vorwurf versäumt, die erforderlichen Löschungen rechtzeitig vorzunehmen. Dies wird offenbar von der Deutsche Wohnen SE auch nicht bestritten. Gestritten wird vielmehr um die Frage nach den Konsequenzen. Kann ein Bußgeldbescheid an eine juristische Person ohne Nachweis eines individuellen Verschuldens eines Leitungsorgans oder irgendeiner*s anderen identifizierten Beschäftigten ergehen?

Unionsrecht oder nationales Recht? Funktionsträgerprinzip oder Rechtsträgerprinzip?

Hier sind zwei Grundsatzfragen angesprochen, die auch das Verhältnis zwischen Europarecht und nationalem Recht zum Hintergrund haben:

  • Genügt allein der objektive Pflichtverstoß, um ein Bußgeld zu verhängen, oder muss zusätzlich schuldhaftes Handeln (Vorsatz oder Fahrlässigkeit) vorliegen?
  • Kann ein Bußgeld gegen eine juristische Person nur verhängt werden, wenn eine Leitungsperson ein Verschulden für ein Handeln trifft, welches der juristischen Person zuzurechnen ist, so wie es das deutsche Ordnungswidrigkeitsrecht vorsieht (Rechtsträgerprinzip) oder haftet das Unternehmen immer, sofern das Handeln seiner Beschäftigten ihm zuzurechnen ist (Funktionsträgerprinzip)?

Nach einem Einspruch der Deutsche Wohnen SE gegen den Bußgeldbescheid stellte das Landgericht (LG) Berlin das Verfahren ein. Es begründete, eine juristische Person könne nicht Adressat eines Bußgeldes sein. Das LG stellte damit auf das sogenannte Rechtsträgerprinzip des nationalen Ordnungswidrigkeitsrecht ab.

Einige Wochen zuvor, im November 2020, vertrat das LG Bonn in einem Bußgeldverfahren gegen das Telekommunikationsunternehmen 1&1 eine andere Position. Es entschied, dass das deutsche Ordnungswidrigkeitengesetz (OwiG) nicht anwendbar sei, weil die europäische DSGVO Vorrang hätte. Auf eine Kenntnis oder (Aufsichts-)Pflichtverletzung des Leitungsorgans käme es daher nicht an. Nach Auffassung des Bonner Gerichts gilt also das sogenannte Funktionsträgerprinzip.

Natürlich ist das LG Berlin nicht an die Entscheidung des LG Bonn gebunden. Aber dass zwei Landgerichte zwei konträre Rechtspositionen einnehmen, zeigt, dass die Rechtsfrage offensichtlich nicht eindeutig ist. Daher focht die zuständige Staatsanwaltschaft den Einstellungsbeschluss des LG Berlins vor dem Berliner Kammergericht an. Das Kammergericht – offensichtlich wie das LG Bonn nicht von der Europarechtskonformität des OwiG überzeugt – rief den EuGH mit einem Vorlagebeschluss zu Hilfe. Er sollte zu den zwei grundsätzlichen Fragen abschließend Stellung nehmen.

Die Entscheidung ist von großer praktischer Relevanz über den Fall der Deutschen Wohnen SE hinaus. Sie könnte massive Auswirkungen auf die Stellung des Datenschutzes in Deutschland generell haben. Folgte der EuGH nämlich – verkürzt ausgedrückt – der Rechtsauffassung des LG Berlins, so wäre das nicht nur eine Schlappe konkret für die Berliner Datenschutzaufsicht, deren Bußgeldbescheid gegen die Deutsche Wohnen SE sich in Luft auflöste, sondern ein Dämpfer für alle Aufsichtsbehörden in Deutschland insgesamt. Ihnen würde dann nämlich die Verwendung eines wesentlichen, gestaltungsstarken Sanktions- und Steuerungsmittels erheblich erschwert werden.

Teilt der EuGH hingegen die Position der Berliner Aufsichtsbehörde (und des Bonner Landgerichts), könnte dies eine deutliche Zunahme der aufsichtsbehördlichen Bußgeldbescheide nach sich ziehen. Das wiederum wäre aus Sicht der Unternehmen unschön, würde aber den Datenschutz stärken.

Der EuGH hat entschieden

Im Dezember 2023 hat der EuGH entschieden, und wer hat nun Recht? Es scheint wie nach Landtagswahlen: Alle sehen sich als Gewinner.

Auf der Seite des Prozessvertreters der Deutschen Wohnen SE, Latham & Watkins ist unter der Überschrift „Latham & Watkins erringt wichtigen Sieg vor EuGH zu Datenschutzbußgeldern“ zu lesen:

„Ich freue mich, dass der EuGH den Argumenten aus unserem Plädoyer zur Unzulässigkeit einer verschuldensunabhängigen Haftung folgt“, so Tim Wybitul, Partner im Bereich Datenschutz bei Latham & Watkins in Frankfurt. „Auch die deutsche Bundesregierung hatte sich in dem Verfahren klar gegen diese Forderung der Datenschutzbehörden ausgesprochen. Im bisherigen Verfahren hatten weder das Landgericht Berlin noch das Kammergericht einen Verstoß oder ein schuldhaftes Handeln eines Mitarbeiters des Unternehmens festgestellt. Das Landgericht Berlin hatte festgestellt, dass der Bußgeldbescheid nicht die gesetzlich geforderten Feststellungen zu einer schuldhaften Tat enthielt. Die Entscheidung bestätigt, dass auch die Datenschutzbehörden an Rechtstaats- und Schuldprinzip gebunden sind. Daher können sie Unternehmen nicht ohne den Nachweis eines schuldhaften Verhaltens sanktionieren. Der Ball liegt jetzt wieder bei den nationalen Gerichten, die die Vorgaben des EuGH hoffentlich sorgsam und mit Augenmaß umsetzen.“

In einer Pressemitteilung der Berliner Aufsichtsbehörde mit dem Titel „EuGH bestätigt die Sanktionspraxis der deutschen Datenschutzbehörden“ wird die Berliner Beauftragte für Datenschutz und Informationsfreiheit Meike Kamp zitiert mit den Worten:

„Die Sanktionierung von Datenschutzverstößen durch Unternehmen war in Deutschland gegenüber anderen EU-Mitgliedstaaten deutlich erschwert. Dies widersprach dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und stand nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Die Entscheidung des EuGH in dieser Frage sorgt damit für die erforderliche Rechtssicherheit bei den Aufsichtsbehörden aber auch den Unternehmen.“

Tatsächlich kann beiden Kommentierungen nicht widersprochen werden. Der EuGH bekam ja zwei Fragen zur Auslegung vorgelegt. Zur ersten hat er befunden, dass ein Bußgeld nur dann verhängt werden kann, wenn der Verstoß schuldhaft begangen wurde. Insoweit referieren Latham & Watkins die EuGH-Entscheidung zutreffend. Weiterhin hat der EuGH zur zweiten Frage erklärt, dass ein Bußgeld unmittelbar gegen eine juristische Person verhängt werden könne und es nicht notwendig sei, dass der Verstoß von einer Leitungsperson begangen oder ein Leitungsorgan Kenntnis von dem Verstoß hatte – wie von der Berliner Beauftragten zu Recht zutreffend hervorgehoben.

Der EuGH teilt somit die Auffassung des Landgerichts Bonn, nach der die DSGVO Vorrang vor dem deutschen Ordnungswidrigkeitengesetz hat. Damit steht fest: Es gilt das Funktionsträgerprinzip. Diesen Aspekt der Entscheidung vernachlässigen Latham & Watkins; sie stellen in den Mittelpunkt, dass ein Verschulden nachgewiesen werden müsse. Der Aspekt ist indes nicht nebensächlich, denn er führt dazu, dass ein Unternehmensverschulden ausreicht. Eine juristische Person haftet für datenschutzrechtliche Verstöße ihrer Vertreter*innen, ihrer Führungskräfte oder einer sonstigen Person, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt.

Zudem hat der EuGH deutlich gemacht, dass ein schuldhaftes Begehen schon dann vorliegt, „wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt“. Mit anderen Worten: Unwissenheit schützt vor Strafe nicht.

Der Hamburger Datenschutzjurist Markus Wünschelbaum bezweifelt, dass die EuGH-Entscheidung im Hinblick auf die verschuldensunabhängige Haftung als Erfolg für die Unternehmen zu werten sei. Er weist darauf hin, dass hier das Kartellrecht als Vorbild dient. Die Anforderung des Kartellrechts an das Verschulden seien derart streng, dass es sich für die Unternehmen um einen Pyrrhussieg handle.

FAZIT: Datenschutz ernstnehmen

Unter dem Strich ist zu konstatieren: Unternehmen, die datenschutzrechtlich gut aufgestellt sind, brauchen die Aufsichtsbehörden für den Datenschutz nicht zu fürchten. Für sie erwachsen aus der EuGH-Entscheidung keine Handlungsanlässe. Sie können sich zurücklehnen.

Fakt ist aber auch: Für die Aufsichtsbehörden sind die formalen Hürden, Bußgelder verhängen zu können, gesunken. Für diejenigen Unternehmen, die noch Handlungsbedarf haben, bedeutet die EuGH-Entscheidung daher keine Entwarnung. Im Gegenteil: Sie täten gut daran, das datenschutzrechtlich Notwendige (Umsetzung technischer und organisatorischer Maßnahmen, Erstellung eines Löschkonzepts, Durchführung von Datenschutzschulungen und Datenschutzaudits) zeitnah zu leisten, um ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen. Verantwortliche, die ihrer Rechenschaftspflicht nicht nachkommen können, machen es Aufsichtsbehörden leicht, ihnen Unternehmensverschulden nachweisen zu können.

_____________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir zu aktuellen und interessanten Themen neue Folgen. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.