Hintergrund des Verfahrens:
Die Berliner Beauftragte für den Datenschutz (BInBD) stellte bei einer Vor-Ort-Kontrolle im Jahr 2017 fest, dass die Deutsche Wohnen SE personenbezogene Daten von (Ex-)Mietern in einem Archivsystem speicherte, ohne die Notwendigkeit nachvollziehbar zu begründen. Es wurde bemängelt, dass ein effektives Löschkonzept für nicht mehr erforderliche Daten fehle. Die Datenschutzbehörde erließ 2020 einen Bußgeldbescheid, dem zufolge die Deutsche Wohnen SE vorsätzlich gegen Datenschutzgrundsätze verstoßen habe, und verhängte eine Geldbuße von über 14 Mio. EUR. Dagegen wehrte sich die Deutsche Wohnen SE mit einem Einspruch.
Das Landgericht Berlin stellte aber das Verfahren ein, da nach deutschem Recht nur natürliche Personen für Ordnungswidrigkeiten verantwortlich gemacht werden können, nicht jedoch juristische Personen, das sog. Rechtsträgerprinzip. Gegen die Einstellung des Verfahrens legte die BInBDI Rechtsbeschwerde beim Kammergericht Berlin ein. Das Kammergericht Berlin legte wiederum dem EuGH in einem Vorabentscheidungsverfahren zum einen die Frage vor, ob ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann, ohne die Feststellung, dass die Ordnungswidrigkeit von einer natürlichen und identifizierten Person begangen wurde. Zum anderen wurde gefragt, ob das Unternehmen den Verstoß durch einen Mitarbeiter schuldhaft begangen haben muss oder ob ein objektiver Pflichtverstoß ausreicht.
Entscheidung:
Der EuGH hat in seinem Urteil nun klargestellt, dass die DS-GVO eine verschuldensabhängige Sanktionierung von Unternehmen erfordert, sog. Funktionsträgerprinzip. Das bedeutet, dass Bußgelder gegen Unternehmen nur dann verhängt werden können, wenn nachgewiesen wird, dass das Unternehmen den Verstoß vorsätzlich oder fahrlässig begangen hat. Es ist jedoch nicht erforderlich, das Verschulden einer bestimmten natürlichen Person innerhalb des Unternehmens nachzuweisen.
Die Sanktionierung von Unternehmen kann also nicht auf einem "strict liability"-Ansatz basieren, bei dem allein der objektive Pflichtverstoß ausreicht. Stattdessen müssen die Datenschutzbehörden nachweisen, dass das Unternehmen selbst in seiner Eigenschaft als Verantwortlicher den Verstoß schuldhaft begangen hat, indem es z.B. seiner Organisationspflicht Datenschutzverstöße in Form der Sensibilisierung der Mitarbeiter oder Etablierung eines wirkungsvollen Datenschutzmanagementsystems nicht nachgekommen ist. Der EuGH betonte, dass die DSGVO einer nationalen Regelung entgegensteht, wonach eine Geldbuße gegen ein Unternehmen nur dann verhängt werden kann, wenn der Verstoß zuvor einer identifizierten natürlichen Person zurechenbar ist. Das europäische Datenschutzrecht erlaubt somit eine direkte Sanktionierung von Unternehmen ohne vorherige Identifizierung einer bestimmten natürlichen Person als Verursacher des Verstoßes.
Bewertung und Ausblick:
Das EuGH-Urteil schafft Klarheit bezüglich der Haftung von Unternehmen bei Datenschutzverstößen. Es bestätigt die Position der Datenschutzbehörden, dass nur eine verschuldensabhängige Sanktionierung von Unternehmen möglich ist. Dies stärkt die Durchsetzung von Datenschutzvorschriften in der gesamten Europäischen Union. Für Unternehmen hat das Urteil zur Folge, dass sie sich nicht darauf berufen können, dass Bußgelder nicht gegenüber juristischen Personen verhängt werden können. Das Urteil verdeutlicht aus unserer Sicht noch einmal mehr, dass Unternehmen ein wirksames Datenschutzmanagementsystem aufbauen und Ihre Mitarbeiter stets sensibilisiert halten müssen, um einem Datenschutzbußgeld entgehen zu können.
