Der EuGH beendet einen zentralen Streit über Rechtsfragen zu Geldbußen für Unternehmen, die gegen datenschutzrechtliche Vorschriften verstoßen haben.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel begrüßt diese Entscheidung: „Der EuGH schafft Rechtssicherheit für die Verhängung von Geldbußen nach der DSGVO. Seine Klarstellung hilft allen drei Seiten, den Datenschutzaufsichtsbehörden, den Verantwortlichen und den Gerichten. Datenschutz kann jetzt effektiver durchgesetzt werden.“
Mit der Entscheidung des EuGH (Az. C-807/21) vom heutigen Tage steht es fest, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt. Für eine Geldbuße ist jedoch nur erforderlich festzustellen, dass ein Verstoß von einer Person begangen wurde, die im Rahmen der unternehmerischen Tätigkeit der juristischen Person gehandelt hat. Die Verhängung einer Geldbuße darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.
Der Entscheidung vorausgegangen war ein Bescheid der Berliner Landesbeauftragten für Datenschutz und Informationsfreiheit (Bln LfDI) vom 30.10.2020 zu einer Geldbuße über 14 Millionen Euro gegen Deutsche Wohnen wegen vorsätzlicher Verstöße gegen die DSGVO. Nach einem Einspruch des Unternehmens stellte das Landgericht Berlin das Verfahren mit Beschluss vom 18.2.2021 ein. Es vertrat die Auffassung, eine juristische Person könne nicht Betroffene in einem Bußgeldverfahren sein. Die Berliner Staatsanwaltschaft legte hiergegen sofortige Beschwerde ein. Das Kammergericht Berlin legte am 6.12.2021 dem EuGH zwei Fragen zur Auslegung der DSGVO vor. Es fragte zum einen, ob eine Geldbuße unmittelbar gegen ein Unternehmen verhängt werden könne oder sie die Feststellung des Verstoßes durch eine natürliche identifizierte Person voraussetze. Zum anderen fragte es, ob das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben müsse oder ob für eine Bebußung des Unternehmens ein ihm zugeordneter Pflichtenverstoß ausreiche („strict liability“).
In seinem Schlussantrag kam der Generalanwalt Manuel Campos Sánchez-Bordona zu dem Ergebnis, dass im Rahmen der DSGVO die Feststellung ausreicht, dass ein Unternehmen den Verstoß vorsätzlich oder fahrlässig begangen hat. Es sei nicht erforderlich festzustellen, welcher individualisierten natürlichen Person im Dienst des Unternehmens der Verstoß zuzurechnen ist. Im Unionsrecht spreche nichts dagegen, das Unternehmen als Täterin und als Schuldnerin der verhängten Sanktion zu sehen.
Der EuGH ist in seiner Entscheidung dem Schlussantrag des Generalanwalts weitgehend gefolgt. Das Unionsrecht und damit die DSGVO sind nicht aus dem Blickwinkel des deutschen Ordnungswidrigkeitenrechts auszulegen. Vielmehr sind die Sanktionsregelungen des Art. 83 DSGVO autonom so auszulegen, dass die Geldbußen „wirksam, verhältnismäßig und abschreckend“ sind. Sie richten sich gegen den Verantwortlichen, der den Datenschutzverstoß zu verantworten hat, und das ist das Unternehmen.
Das Kammergericht Berlin ist nun gefordert darüber zu entscheiden, in welchem Umfang die nationalen Vorschriften zum Bußgeldverfahren im OWiG mit dem europäischen Verständnis von der Festsetzung von Geldbußen vereinbar sind und ob die Geldbuße in der festgesetzten Höhe gerechtfertigt war.