Das Thema
Ob Verstöße der DSGVO ohne jegliches Verschulden geahndet werden können, ist bislang trefflich umstritten gewesen. Eine besondere Rolle spielt dies insbesondere bei einer Datenverarbeitung durch juristische Personen.
Die zugrunde liegenden Fälle
Einem der Urteile lag der Fall der „Deutsche Wohnen“ zugrunde, einem Immobilienunternehmen, welches vom Berliner Beauftragten für Datenschutz ein Bußgeld i.H.v. EUR 14,5 Millionen nach dem Ordnungswidrigkeitengesetz (OWiG) erhielt, weil es Mieterdaten länger als notwendig gespeichert hatte. Das Berliner Landgericht stellte das Verfahren ein, weil sich kein Verstoß einer natürlichen Person feststellen ließ, was jedoch nach deutschem Ordnungswidrigkeitenrecht notwendig sei (§ 30 OWiG). Dagegen erhob die Staatsanwaltschaft Berlin sofortige Beschwerde beim Kammergericht, das dem EuGH die das Verschulden betreffenden Fragen zur Vorabentscheidung vorlegte. Das zweite Urteil basierte auf einer Streitigkeit der litauischen Datenschutzaufsichtsbehörde und dem Nationalen Zentrum für öffentliche Gesundheit in Litauen (NZÖG). Das NZÖG wandte sich gegen eine ihr aufgelegte Geldbuße, welche die Behörde ihr im Zusammenhang mit der Entwicklung einer mobilen IT-Anwendung zur Covid19-Pandemie erteilte.
In beiden Fällen stellte sich die Frage nach der Verantwortlichkeit. Die nationalen Gerichte wandten sich deshalb mit der folgenden Vorlagefrage an den EuGH: Ist Art. 83 DSGVO dahingehend auszulegen, dass eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der/die Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne von Art. 83 Abs. 4 bis 6 DSGVO begangen hat? Das Kammergericht Berlin fragte zudem an, ob gegen die juristische Person überhaupt eine Sanktion verhängt werden kann, ohne dass zuvor die Verantwortlichkeit einer natürlichen Person festgestellt zu worden sei.
Kernaussagen der Urteile
Auch gegen eine juristische Person kann ein Bußgeld verhängt werden
Zur Vorlagefrage des Kammergerichts entschied der EuGH, dass die Verhängung einer Geldbuße gegen eine juristische Person nicht von der vorherigen Feststellung eines Verstoßes durch eine individualisierte natürliche Person, die im Dienst dieser juristischen Person steht, abhängig sei. Als Begründung bringt der EuGH an, dass sich die in der DSGVO vorgesehenen Verbote und Pflichten insbesondere an „Verantwortliche“ richten, worunter auch juristische Personen fallen. Bei der Haftung werde nicht zwischen natürlichen und juristischen Personen unterschieden. Aus einer Zusammenschau der Regelungen der DSGVO ergebe sich deshalb, dass eine Geldbuße wegen eines Verstoßes gemäß Art. 83 Abs. 4 bis 6 DSGVO auch gegen juristische Personen verhängt werden kann, sofern sie die Eigenschaft eines Verantwortlichen haben. Sofern nationale Regelungen etwas anderes vorschreiben, stehe die europäische Auslegung dem entgegen.
Vorsatz oder Fahrlässigkeit als notwendige Voraussetzung für einen Bußgelderlass
Die von beiden Gerichten gestellte Frage nach dem Verschuldensmaßstab beantwortete der EuGH wie folgt: Bei der Verhängung einer Geldbuße nach Art. 83 DSGVO müsse festgestellt werden, dass der geeignete Verstoß von den Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Verantwortliche können für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden, wenn sie sich über die Rechtswidrigkeit ihres Verhaltens „nicht im Unklaren sein konnten“, mithin unabhängig davon, ob ihnen der Verstoß gegen die DSGVO überhaupt bewusst war. Hier stellt der EuGH klar, dass auch Unkenntnis unter fahrlässiges Handeln fallen kann. Art. 83 DSGVO enthalte zwar keine ausdrückliche Klarstellung, dass die in seinen Abs. 4 bis 6 genannten Verstöße nur dann mit einer solchen Geldbuße geahndet werden können, wenn sie vorsätzlich oder zumindest fahrlässig begangen wurden. Der EuGH schiebt jedoch einer daraus abzuleitenden verschuldensunabhängigen Auslegung einen Riegel vor. Denn Art. 83 Abs. 2 DSGVO führe die Kriterien von Vorsatz und Fahrlässigkeit des Verstoßes für die Bemessung der Höhe der Geldbuße an. Der Absatz sei zudem in Verbindung mit Art. 83 Abs. 3 DSGVO zu lesen, der bestimmt, welche Folgen bei der Kumulierung von Verstößen gegen die DSGVO eintreten und auch hierbei auf Vorsatz oder Fahrlässigkeit abstellt. Die allgemeine Systematik und der Zweck der DSGVO würden diese Lesart bestätigen.
Zwar habe der Unionsgesetzgeber ein Sanktionssystem schaffen wollen, welches durch die abschreckende Wirkung von Bußgeldern einen stärkeren Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten schafft. Allerdings habe er es jedoch nicht für erforderlich gehalten, die Gewährleistung eines solch hohen Schutzniveaus vorzusehen, dass Geldbußen verschuldensunabhängig verhängt werden. Als weiteres Argument stellt der EuGH dar, dass die DSGVO auf ein gleichwertiges und einheitliches Schutzniveau abziele und hierfür in der gesamten Union gleichmäßig angewandt werden müsse. Würde nationales Recht eine verschuldensunabhängige Verhängung vorsehen, liefe das diesem Ziel zuwider. Eine solche Wahlfreiheit wäre zudem geeignet, den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen. Schließlich stellt der EuGH klar, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans einer juristischen Person voraussetze. Es bleibt offen, ob der Verstoß einer Individualperson notwendig ist oder auch Organisationverschulden ausreicht.
Praxisfolgen
Unternehmen können zunächst aufatmen. Obwohl der EuGH mit seiner Entscheidung zeigt, dass der Datenschutz ernst zu nehmen ist und Unternehmen in die Pflicht genommen werden, tritt er dennoch der engen Ansicht der Datenschutzbehörden entgegen, dass eine auch verschuldensunabhängige Haftung die Verhängung von Bußgeld nach sich ziehen kann. Denn es ist nun ein engerer Prüfungsmaßstab anzusetzen, indem der Nachweis von Vorsatz oder Fahrlässigkeit notwendig wird, statt die verschuldensunabhängige Haftung zuzulassen. Zukünftig werden die Datenschutzbehörden sich mithin darauf konzentrieren müssen, das Verschulden nachzuweisen. Allerdings sind die Anforderungen hieran gering, da keine Handlung und auch keine Kenntnis durch ein Leitungsorgan der juristischen Person erforderlich ist, was bedeutet, dass auch unterhalb der leitenden Hierarchieebenen Datenschutzverstöße zu Bußgeldern führen können. Dies wird insbesondere dadurch verstärkt, dass der EuGH nicht verlangt, dass dem Unternehmen der Verstoß bewusst ist, sondern lediglich, dass er über die Rechtswidrigkeit hätte Kenntnis haben können. In der Praxis wird die Unwissenheit bezüglich des Rechtsverstoßes schwierig darzulegen zu sein. Bei strikter Anwendung der Rechtsprechung könnte somit jeder Verstoß eines Mitarbeiters schon das Risiko eines Bußgeldes bergen.
Es ist nunmehr zudem klar, dass juristische Personen auch Verantwortliche von Bußgeldern sein können. Die Geldbuße darf also unmittelbar gegen das Unternehmen verhängt werden. Es ist insbesondere nicht notwendig, dass als erstes Glied in der Kette der Verstoß einer natürlichen Person feststeht. Die Abkehr der Erforderlichkeit einer Identifizierung einer individuellen Person spielt Datenschutzbehörden in die Karten. Unklar bleibt aber auch nach den Entscheidungen des EuGH weiterhin, wann ein Unternehmen schuldhaft handelt, wenn Fehlverhalten nicht einer Person zugerechnet werden kann, aber dennoch notwendig ist, dass ein Verschulden festgestellt werden muss. Dies müssen die nationalen Gerichte jetzt klären. Hierbei dürfte wohl als Verschulden jenseits individueller Verantwortung auch eine Unternehmenshaftung in Betracht kommen, wenn Aufsichtsmaßnahmen unterlassen worden sind. Die Sanktionierung von DSGVO-Verstößen hat in Zukunft anhand der nunmehr aufgestellten Mechanismen zu erfolgen, statt nach dem deutschen Sanktionsregime des OWiG.