EuGH senkt Hürden für DSGVO-Bußgelder – OWiG nicht anwendbar und Einstandspflicht für Auftragsverarbeiter
Der EuGH hat heute in einem deutschen und in einem litauischen Fall Grundsatzurteile zu DSGVO-Bußgeldern verkündet, über die sich die Datenschutzbehörden freuen können. Denn der EuGH beseitigt Verfahrenshürden für die Verhängung von Bußgeldern und nimmt Unternehmen sogar dann in die Bußgeldpflicht, wenn es bei Dienstleistern zu Datenschutzverstößen kommt.
Liest man das heutige Urteil des EuGH zum Fall „Deutsche Wohnen“, bleiben manche Fragen offen. Fragen, die ein anderes Urteil beantwortet, das der EuGH zeitgleich verkündet hat. In Sachen „Nacionalinis visuomenės sveikatos centras“ der EuGH entschieden, dass es für ein Bußgeld bereits ausreicht, dass sich ein Unternehmen über einen Datenschutzverstoß „nicht im Unklaren sein konnte“. Ob den Verantwortlichen der DSGVO-Verstoß bewusst gewesen sei, sei unerheblich. Dies gelte sogar dann, wenn ein anderes Unternehmen als Auftragsverarbeiter datenschutzwidrig gehandelt habe.
In dem Fall „Deutsche Wohnen“ stritt sich das Wohnungsunternehmen seit längerer Zeit mit der Datenschutzbehörde darüber, ob Mieterangaben (z. B. Personalausweiskopien, Bonitätsbelege, Gehaltsbescheinigungen) langfristig im Archivsystem gespeichert werden dürfen. Die Datenschützer rügten einen DSGVO-Verstoß. Als sich „Deutsche Wohnen“ hierüber unter Hinweis auf gesetzliche Aufbewahrungspflichten hinwegsetzte, verhängte die Berliner Behörde ein Bußgeld in Höhe von 14,385 Mio. EUR wegen eines vorsätzlichen Datenschutzverstoßes.
Das Landgericht Berlin stellte das Bußgeldverfahren ein, da es an einer Feststellung fehlte, welche Person mit Leitungsfunktion vorsätzlich oder fahrlässig gehandelt hatte (§ 30 OWiG). Auch eine Aufsichtspflichtverletzung (§ 130 OWiG) hatte die Berliner Datenschutzbehörde nicht festgestellt.
Die Berliner Datenschützer legten Beschwere beim Kammergericht ein. Mit Erfolg, denn das Kammergericht hielt die Einschränkungen der §§ 30 und 130 OWiG für DSGVO-widrig und legten den Fall dem EuGH zur Entscheidung vor.
Der EuGH schloss sich dem Kammergericht insoweit an, als er die Einschränkungen der §§ 30 und 130 OWiG für DSGVO-widrig erachtet. Damit steht fest, dass es zur Verhängung eines Bußgelds keiner Feststellung bedarf, dass eine konkrete Person (mit Leitungsfunktion) in dem betroffenen Unternehmen fahrlässig oder vorsätzlich handelte.
Dies bedeutet indes nicht, dass Bußgelder auch ohne einen Verschuldensnachweis verhängt werden dürfen. Ohne Verschulden kein Bußgeld. Auch dies hat der EuGH in seiner heutigen Entscheidung klipp und klar festgestellt.
Aber wie stellt man das Verschulden eines Unternehmens fest, wenn es gar nicht darauf ankommt, ob einzelnen Personen Vorsatz oder Fahrlässigkeit vorzuwerfen ist?
Die Antwort ist eine Parallele, die der EuGH zum europäischen Kartellrecht zieht. Eine Antwort, die „Deutsche Wohnen“ nicht gefallen wird:
„Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker & Co. u. a., C‑681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C‑591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C‑601/16 P, EU:C:2021:244, Rn. 97),
Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. entsprechend Urteile vom 7. Juni 1983, Musique Diffusion française u. a./Kommission, 100/80 bis 103/80, EU:C:1983:158, Rn. 97, und vom 16. Februar 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Kommission, C‑94/15 P, EU:C:2017:124, Rn. 28 sowie die dort angeführte Rechtsprechung).“
(EuGH vom 5.12.2023, C-807/21, Rn. 76 f.)
Geht man einmal davon aus, dass die Speicherung von Mieterdaten im Archiv von „Deutsche Wohnen“ datenschutzwidrig war, gibt es somit für das Wohnungsunternehmen kein Entrinnen mehr. Da die Datenschutzbehörde den Verstoß frühzeitig beanstandet hatte, wird man nicht sagen können, man sei sich in dem Unternehmen über den Verstoß „im Unklaren“ gewesen.
In dem Parallelfall „Nacionalinis visuomenės sveikatos centras“ geht der EuGH noch einen Schritt weiter:
„Da ein für die Verarbeitung Verantwortlicher … nicht nur für jede von ihm selbst vorgenommene Verarbeitung personenbezogener Daten, sondern auch für die in seinem Auftrag vorgenommenen Verarbeitungen verantwortlich ist, kann diesem Verantwortlichen in einer Situation, in der personenbezogene Daten unrechtmäßig verarbeitet werden und nicht ein solcher Verantwortlicher, sondern ein von ihm eingeschalteter Auftragsverarbeiter diese Verarbeitung in seinem Auftrag vorgenommen hat, ein Bußgeld nach Art. 83 DSGVO auferlegt werden.“
(EuGH vom 5.12.2023, C-683/21, R. 84)
Dies darf man so verstehen, dass Bußgelder sogar verhängt werden dürfen, wenn ein Unternehmen nicht selbst datenschutzwidrig gehandelt hat, sondern einen Auftragsverarbeiter eingeschaltet hat, bei dem es zu einem vorsätzlichen oder fahrlässigen DSGVO-Verstoß gekommen ist.