EuGH zur Unternehmenshaftung: Mil­lionen-DSGVO-Geld­buße nur bei schuld­haftem Ver­stoß

05.12.2023

Beim Kammergericht läuft ein Verfahren zu einem 14,5 Mio. Euro hohen Bußgeld gegen Immobilienriese Deutsche Wohnen – nun hat der EuGH im Vorabentscheidungsverfahren zur Haftung von Unternehmen entschieden. 

Ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) kann eine Geldbuße gegen ein Unternehmen nach sich ziehen. Dies gilt auch dann, wenn die unerlaubte Handlung nicht einer identifizierten natürlichen Person als Vertreter des Unternehmens zugeordnet werden kann. Voraussetzung für eine Geldbuße ist aber stets, dass das Unternehmen schuldhaft gehandelt hat, entschied der Europäische Gerichtshof (EuGH) am Dienstag (Urt. v. 05.12.2023, Az. C-683/21 (Nacionalinis visuomenės sveikatos centras) und C-807/21 (Deutsche Wohnen)).

Vorausgegangen waren Vorlagen (Art. 267 AEUV) eines litauischen Gerichts sowie des Kammergerichts. Dabei ging es zum einen um die Frage, ob eine Bußgeldhaftung eines Unternehmens voraussetzt, dass ein schuldhaftes Fehlverhalten einer konkret identifizierten Person nachgewiesen werden kann, welches dann der juristischen Person zugerechnet wird (Zurechnungsprinzip). So sieht es nämlich § 30 des deutschen Ordnungswidrigkeitengesetzes (OWiG) vor, um dessen Anwendung vor dem Kammergericht gestritten wird.

Hier war das Immobilienunternehmen "Deutsche Wohnen SE" betroffen. Gegen das Unternehmen, der seit 2021 zur Vonovia SE gehört, hatte der Berliner Datenschutzbeauftragte 2020 einen Bußgeldbescheid in Höhe von etwa 14,5 Millionen Euro erlassen. Hintergrund war, dass personenbezogene Daten von Mietern länger als erforderlich gespeichert wurden. Das ist bewusst im Passiv formuliert, denn im Ausgangsverfahren hatte der Datenschutzbeauftragte bislang nicht nachweisen können, dass eine bestimmte Leitungs-, Aufsichts- oder sonst vertretungsberechtigte Person i.S.d. § 30 OWiG den DSGVO-Verstoß zu verantworten hat. Aus diesem Grund hatte das Berliner Landgericht den Bußgeldbescheid in der Vorinstanz kassiert.

EuGH fordert ein Organisationsverschulden

Da Art. 83 DSGVO eine solche Zurechnungskette vom Delikt zu einer natürlichen Person und von dieser zur juristischen Person nicht vorschreibt, legte das Kammergericht den Fall dem EuGH im Rahmen eines Vorabentscheidungsverfahrens vor. Dieser stellte auf die erste Vorlagefrage hin fest, dass das erste Glied der Kette unionsrechtlich nicht erforderlich ist. Eine juristische Person hafte auch dann auf Zahlung eines Bußgeldes, wenn unklar bleibt, wer genau den Verstoß begangen hat.

Voraussetzung sei aber ein vorsätzliches oder fahrlässiges Verhalten des datenschutzrechtlich Verantwortlichen, im Fall eines Unternehmens also der juristischen Person, hier: der Deutsche Wohnen SE. Damit bejahte der EuGH die zweite Vorlagefrage des Kammergerichts.

Unklar bleibt damit aber, wann ein Unternehmen schuldhaft handelt, wenn das Fehlverhalten nicht einer identifizierten natürlich Person als Unternehmensvertreter zugerechnet werden kann. Das muss nun das Kammergericht im Ausgangsverfahren klären (Az. 3 Ws 250/21). Dabei wird es sich auch mit § 130 OWiG auseinandersetzen müssen, wonach eine Unternehmenshaftung auch bei mangelhafter Compliance in Betracht kommt – also dann, wenn der "Inhaber des Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern".

Beide Seiten reklamieren Urteil als Erfolg 

Für die Berechnung der Geldbuße gab der EuGH dem Kammergericht mit auf den Weg, dass wenn der Adressat der Geldbuße zu einem Konzern gehört, bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen sei.

Nach Auffassung von Squire Patton Boggs, FFPV und Latham, welche Deutsche Wohnen in diesem Fall vertreten, ist die Entscheidung des EuGH ein Erfolg. Die Große Kammer trete "deutlich der von einigen Datenschutzbehörden vertretenen Auffassung entgegen, dass eine verschuldensunabhängige Haftung für Verstöße gegen die DSGVO besteht", so die Kanzleien gegenüber LTO. "Der Fall wirft wichtige Fragen zur Anwendung der Datenschutz-Grundverordnung auf", sagte Kai Mertens von Squire Patton Boggs. "Wir freuen uns, dass der Europäische Gerichtshof nun klargestellt hat, dass nur ein vorsätzlicher oder fahrlässiger Verstoß gegen die DSGVO zu einem Bußgeld führen kann."

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit Meike Kamp sieht die Folgen Luxemburger Entscheidung positiv: Das Urteil erleichtere den Aufsichtsbehörden die Sanktionierung von Datenschutzverstößen durch Unternehmen. Unternehmen für DSGVO-Verstöße mit Bußgeldern zu belegen, sei bislang "in Deutschland gegenüber anderen EU-Mitgliedstaaten deutlich erschwert" gewesen, so Kamp. "Dies widersprach dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und stand nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen." Das Urteil sorge damit für die erforderliche Rechtssicherheit – "bei den Aufsichtsbehörden aber auch den Unternehmen".

mk/jb/LTO-Redaktion

Hinweis der Redaktion: Die Argumentation des EuGH wurde am 13.12.2023 nachträglich ergänzt.

Beteiligte Kanzleien

Beteiligte Personen

Die Deutsche Wohnen wurde vor dem Europäischen Gerichtshof von den Squire Patton Briggs Partnern Dr. Kai Mertens (Berlin) und Oliver Geiss (Brüssel), Nikolai Venn von Freyschmidt Frings Pananis Venn und Tim Wybitul von Latham Watkins vertreten.

Zitiervorschlag

EuGH zur Unternehmenshaftung: Millionen-DSGVO-Geldbuße nur bei schuldhaftem Verstoß . In: Legal Tribune Online, 05.12.2023 , https://www.lto.de/persistent/a_id/53344/ (abgerufen am: 03.03.2024 )

Infos zum Zitiervorschlag
Jetzt Pushnachrichten aktivieren

Pushverwaltung

Sie haben die Pushnachrichten abonniert.
Durch zusätzliche Filter können Sie Ihr Pushabo einschränken.

Filter öffnen
Rubriken
oder
Rechtsgebiete
Abbestellen