Wer haftet für DSGVO-Verstöße in Unternehmen?
Am 27.04.2023 hat der Generalanwalt am Europäischen Gerichtshof (EuGH) Manuel Campos Sánchez-Bordona seine Schlussanträge im Verfahren der Deutsche Wohnen SE gegen die Berliner Staatsanwaltschaft bekannt gegeben und sich darin gegen eine verschuldensunabhängige Bebußung bei DSGVO-Verstößen ausgesprochen (Rs. C-807/21). Das erst in einigen Monaten zu erwartende Urteil verspricht, grundsätzliche Fragen bei der Bebußung von Unternehmen wegen DSGVO-Verstößen zu klären.
Ausgangsfall und Vorlagefragen
Gegenstand des Verfahrens sind zwei Vorlagefragen, die das Kammergericht (KG) Berlin dem EuGH im Dezember 2021 in Zusammenhang mit einem von der Berliner Datenschutzbehörde gegenüber der Deutsche Wohnen SE verhängten Bußgeld wegen vermeintlicher DSGVO-Verstöße einer Tochtergesellschaft vorgelegt hatte. Als Grund für das Bußgeld von über 14 Mio. Euro gibt die Berliner Datenschutzbehörde die fortgesetzte Speicherung personenbezogener Mieterdaten in mindestens 15 Fällen an, obwohl eine Speicherung nicht (mehr) erforderlich gewesen sei.
Mit den Vorlagefragen wollte das KG Berlin erfahren, ob,
- ein DSGVO-Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden darf, ohne dass es einer durch eine identifizierte natürliche Person begangenen Ordnungswidrigkeit bedarf und
- sofern dies der Fall ist, ob es für eine Bebußung des Unternehmens im Grundsatz bereits ausreicht, wenn ein dem Unternehmen zuzuordnender objektiver Pflichtenverstoß vorliegt (sog. „strict liability“) oder ob ein durch den Mitarbeiter des Unternehmens schuldhaft begangener Verstoß erforderlich ist.
Der Generalanwalt hat sich nun dafür ausgesprochen, dass Geldbußen grundsätzlich gegen juristische Personen als Verantwortliche im Sinne der DSGVO verhängt werden können. Nichtsdestotrotz bedürfe es dafür aber eines vorsätzlichen oder fahrlässigen Verstoßes. Ein rein objektiver Pflichtenverstoß genügt damit nach Ansicht des Generalanwalts nicht.
Was bedeuten die Schlussanträge des Generalanwalts für Unternehmen?
Die Schlussanträge des unparteiischen Generalanwalts sind für die Entscheidung des EuGH nicht verbindlich. Erfahrungsgemäß sind die Aussagen des Generalanwalts als Gutachten zur Unterstützung des EuGH bei der Entscheidungsfindung aber eine erste Tendenz für das zu diesem Zeitpunkt noch ausstehende Urteil.
Der Generalanwalt fordert zwar einen vorsätzlichen oder fahrlässigen Verstoß gegen die DSGVO, betont aber auch, dass dieser im Zweifel auf einen Mangel des Kontroll- und Überwachungssystems innerhalb eines Unternehmens zurückgehen kann. Das Aufstellen, Einhalten und die Kontrolle von Datenschutz-Compliance-Maßnahmen sind in ihrer Bedeutung für das bei DSGVO-Verstößen im Raum stehende Verschulden des Unternehmens als Bußgeldadressat deshalb nicht zu unterschätzen.
Klarstellung zur Höhe der Bußgeldbemessung in Konzernstrukturen
Bereits vor Bekanntgabe des Urteils dürfte für Unternehmen sowohl in der datenschutzrechtlichen Risikobewertung als auch im Konfliktfall außerdem besonders interessant sein, wie sich der Generalanwalt in seinen Schlussanträgen zur Bußgeldbemessung in Konzernstrukturen geäußert hat. Diese können laut DSGVO bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen. Bisher ist nicht abschließend geklärt, ob laut DSGVO für die Bußgeldbemessung der Konzernumsatz oder der jeweilige Umsatz der einzelnen konzernangehörigen Unternehmen heranzuziehen ist. Der Generalanwalt spricht sich nun für eine Bußgeldbemessung anhand des Konzernumsatzes aus, wie es auch im europäischen Wettbewerbsrecht gehandhabt wird. Gleichzeitig betont er aber, dass die DSGVO nur bezüglich der Bußgeldbemessung auf die wettbewerbsrechtlichen Grundsätze verweist. Offen lässt er explizit, ob das gleiche Verständnis des Unternehmensbegriffs hinsichtlich der Haftung der Muttergesellschaft für Datenschutzverstöße der Tochtergesellschaft heranzuziehen ist.
Mangelhafte Datenschutz-Compliance kann teuer werden
Es bleibt abzuwarten, ob der EuGH in seinem Urteil die Chance ergreift und neben der Beantwortung der konkreten Vorlagefragen zur Frage der datenschutzrechtlichen Verantwortlichkeit und Haftung im Konzern grundsätzliche Aussagen treffen wird. Die Schlussanträge des Generalanwalts unterstreichen aber bereits jetzt das finanzielle Risiko, das mangelhafte Datenschutz-Compliance für konzernangehörige Unternehmen seit Inkrafttreten der DSGVO darstellt.
Ansprechpartner