EuGH: Bußgeld setzt schuldhaften Datenschutz-Verstoß voraus – aber keine Management-Zurechnung („Deutsche Wohnen“)

Der EuGH hat in der Rechtssache C 807/21 – Deutsche Wohnen entschieden und dabei die Weichen für die Durchsetzungspraxis der deutschen Datenschutzbehörden nachjustiert.

Vorsatz oder Fahrlässigkeit, aber keine Management-Zurechnung notwendig

In seiner am 5. Dezember veröffentlichten Entscheidung hat der EuGH einige wichtige Fragen zu den materiellen Voraussetzungen für Bußgeldern nach der DSGVO geklärt und nochmals wichtige Leitsätze bestätigt. In der Entscheidung stellt das Gericht klar:

1. Die Verhängung eines Bußgeldes setzt zwingend die vorsätzliche oder fahrlässige Verletzung einer datenschutzrechtlichen Pflicht voraus. Eine verschuldensunabhängige Haftung sieht die DSGVO nicht vor.
2. Die DSGVO setzt nicht voraus, dass die relevante Pflichtverletzung dem verantwortlichen Unternehmen über eine vertretungsberechtigte Person – also ein Leitungsorgan – zugerechnet werden kann. Auch wird weder eine Handlung noch Kenntnis seitens der Leitungsorgane vorausgesetzt.
3. Die materiellen Voraussetzungen für die Verhängung eines Bußgeldes richten sich ausschließlich nach der DSGVO. Den nationalen Gesetzgebern ist insoweit kein Ermessensspielraum eingeräumt.
4. Der für die Bemessung des Bußgeldes relevante Unternehmensbegriff bezieht sich wie im Kartellrecht auf eine wirtschaftliche Einheit, die auch aus mehreren natürlichen oder juristischen Personen bestehen kann. In der Regel wird sich die Höhe des Bußgeldes daher nicht nach dem Umsatz des einzelnen verantwortlichen Unternehmens richten, sondern der Konzernumsatz maßgeblich sein.

Hintergrund & Einordnung in der Praxis

Der EuGH-Entscheidung liegt ein Rechtsstreit zwischen der Deutschen Wohnen SE und der Berliner Datenschutzhörde über einen gegenüber der Deutschen Wohnen erlassenen Bußgeldbescheid in Höhe von über 14 Millionen Euro aus dem Jahr 2020 zugrunde. Das Immobilienunternehmen hatte personenbezogene Daten nach Ablauf der einschlägigen Aufbewahrungsfristen nicht ordnungsgemäß gelöscht und so die datenschutzrechtlichen Löschpflichten nicht eingehalten.

Das Urteil bedeutet in der Praxis dreierlei:

• Bußgelder können nur dann erlassen werden, wenn ein schuldhafter Verstoß vorliegt. Vorfälle, die durch höhere Gewalt oder trotz der gebotenen Sorgfalt eintreten, können nicht mit Bußgeldern belegt werden. Dies ist schützt zwar Unternehmen vor Geldbußen aus Vorfällen außerhalb ihrer Einflusssphäre. Andererseits liegt ein Großteil der Verarbeitungstätigkeiten in der Praxis innerhalb der Einflusssphäre, so dass Verstoß gegen einen Großteil der Datenschutzpflichten bußgeldrelevant sind und bleiben.
• Deutsche Unternehmen können sich nicht auf Grundlage von § 30 OWiG damit verteidigen, dass der Datenschutzverstoß nicht auf das Fehlverhalten eines vertretungsberechtigten Leitungsorganes zurückzuführen werden kann. Grundsätzlich muss sich das Unternehmen auch das Verhaltens eines nicht-vertretungsberechtigten Mitarbeiters oder jeder anderen Person zurechnen lassen, die im Rahmen der unternehmerischen Tätigkeit für das Unternehmen handelt. In der Praxis sollten Unternehmen daher weiterhin konsequent darauf achten und sicherstellen, dass Datenschutzvorgaben in der gesamten Organisation operativ umgesetzt und beachtet werden.
• Die Höhe der Bußgelder wird tendenziell steigen. Für die Berechnung der Bußgelder werden sich die Datenschutzbehörden nun am Konzernumsatz orientieren müssen. Dieser wird um ein Wesentliches höher sein als der Umsatz der einzelnen verantwortlichen Gesellschaft.