Auswirkungen der Gerichtsentscheidungen zu DSGVO-Bußgeldern

29. März 2024

Welche Folgen haben die Entscheidungen für die Praxis?

A. Zusammenfassung

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung vom 05.12.2023, C 807/21, wichtige Aussagen zur Verhängung von Bußgeldern wegen Datenschutzverstößen getroffen. Im Nachgang hierzu hat das Kammergericht Berlin (KG) das weitere Verfahren an das Landgericht Berlin zurückverwiesen (Az. 3 Ws 250/21). Bußgelder nach Art. 83 DS-GVO sind aus wirtschaftlicher Sicht neben Schadensersatzforderungen typischerweise eines der größten Risiken für Unternehmen im Bereich des Datenschutzrechts. Die Entscheidungen sind für die datenschutzrechtliche Praxis der Unternehmen und ihrer Datenschutzbeauftragten daher von erheblicher praktischer Relevanz.

Eine verschuldensunabhängige Unternehmenshaftung, eine sogenannte „strict liability“, hat der EuGH entgegen der Forderung der Datenschutzbehörden abgelehnt. Nach der Entscheidung steht fest, dass ein datenschutzrechtliches Bußgeld die Feststellung eines zurechenbaren vorsätzlichen oder fahrlässigen Handelns eines Mitarbeiters erfordert, welcher im Namen des Unternehmens handelt. Auch wenn die Datenschutzbehörden einen schuldhaften DSGVO-Verstoß nachweisen müssen, ist es nach der Entscheidung des EuGH hierfür nicht erforderlich, dass sie dabei einzelne handelnde Mitarbeiter identifizieren.

Zudem hat sich der EuGH zum einschlägigen Bußgeldrahmen geäußert: Für einen Datenschutzverstoß wird der maximale Bußgeldrahmen anhand des Umsatzes der „wirtschaftlichen Einheit“ berechnet. Für konzernangehörige Unternehmen bedeutet dies nach der Entscheidung des EuGH, dass hierfür der Jahresumsatz der wirtschaftlichen Einheit i. S. v. Artt. 101, 102 AEUV heranzuziehen ist, also vereinfacht gesprochen der des Konzerns. Dieser Punkt ist von erheblicher Bedeutung. Denn dies ist in den Artikeln der DS-GVO selbst gar nicht geregelt. Nach der bisherigen Rechtsprechung des EuGH muss ein derart wesentlicher Aspekt in den Artikeln der DSGVO und nicht – wie hier in den Erwägungsgründen – geregelt sein. Dennoch steht nun fest, dass sich der maximale Bußgeldrahmen für ein konzernangehöriges Unternehmen in Zukunft wohl nach dem Umsatz des gesamten Konzerns richten wird.

Für die Praxis der Datenschutzbeauftragen in Unternehmen ergeben sich aus dem Urteil des EuGH insbesondere die folgenden Schlussfolgerungen:

  • Positionen der Aufsichtsbehörden sind Rechtsauffassungen. Die Aufsichtsbehörden sind keine Gerichte und damit – genau wie Unternehmen – nur Rechtsanwender. Die Entscheidung des EuGH hat der Auffassung der Aufsichtsbehörden in Bezug auf eine „strict liability“ eine klare Absage erteilt. Die Entscheidung zeigt also, dass es für Unternehmen und ihre Datenschutzbeauftragte durchaus Sinn machen kann sich gegen überzogene Behördenanforderungen zur Wehr zu setzen.
  • Der EuGH hat klargestellt, dass ein Bußgeld gegen ein Unternehmen (i) die Feststellung einer schuldhaft begangenen Tat sowie vor allem (ii) den konkreten Nachweis der schuldhaften Tat erfordert. Unternehmen und ihre Datenschutzbeauftragten sollten überlegen, in welchen Situationen sie den Datenschutzbehörden den von diesen gescheuten „Aufwand“ nicht abnehmen und den Behörden – im Rahmen des rechtlich Erlaubten – weniger Informationen proaktiv bereitstellen und Fragen der Behörden tendenziell zurückhaltend beantworten. Anderenfalls erleichtert dies es den Datenschutzbehörden den rechtsstaatlich gebotenen Nachweis zu führen, was die weitere Verteidigung deutlich erschweren und viel Geld kosten kann.
  • Die Einhaltung datenschutzrechtlicher Vorschriften durch Unternehmen ist infolge der Entscheidung des EuGH noch wichtiger geworden, insbesondere im Konzernumfeld. Zum einen hat der EuGH das deutsche Bußgeldrecht insoweit bestätigt, dass die Behörde für eine Sanktionierung des Unternehmens keine konkret handelnden Mitarbeiter identifizieren muss. Zum anderen hat der EuGH klargestellt, dass im Konzernumfeld wegen Artt. 101, 102 AEUV für die Bestimmung des maximalen Bußgeldrahmens der Jahresumsatz des gesamten Konzerns als „wirtschaftliche Einheit“ herangezogen wird. Den Datenschutzbehörden ist es insofern in Zukunft leichter möglich bei Verstößen vermeintlich „kleiner“ Tochtergesellschaften empfindliche Bußgelder zu verhängen. Die beste Verteidigung hiergegen ist es bereits von Anfang an eine Verletzung der Vorgaben der DSGVO zu vermeiden.
  • Sorgen machen hier allerdings einige Aussagen des KG aus dem Beschluss vom 22.01.2024. Danach solle „selbst eine normentsprechende Organisation […] – jedenfalls in aller Regel – nicht zur Exkulpation“ führen, da „dies dem Effektivitätsgrundsatz des europäischen Rechts [entspricht].“ Diese Aussagen sind schon in rechtlicher Hinsicht unzutreffend. Derartige Vorgaben hat der EuGH gerade nicht gemacht. Noch schlimmer wären aber die Praxisfolgen dieser Rechtsauffassung. Denn dann könnte selbst eine umfassend datenschutzkonforme („normentsprechende“) Organisation nicht vor Bußgeldern schützen. Damit wären Rolle und Bedeutung der Datenschutzbeauftragten und des Datenschutzes in Unternehmen stark eingeschränkt. Es bleibt aber zu hoffen, dass andere deutsche Gerichte (und Behörden) dieser Fehlinterpretation des EuGH durch das KG nicht folgen werden.

B. Hintergrund der Entscheidung

In einem Bußgeldverfahren hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) im Jahr 2019 ein Bußgeld unmittelbar gegen ein Unternehmen verhängt. Die BlnBDI hatte dieses dabei als „Betroffenen“ im Sinne des OWiG, also als Täter des vermeintlichen Verstoßes gegen die DSGVO, angenommen. In ihrem Bußgeldbescheid hatte die Behörde keinen Nachweis für eine schuldhaft begangene Tat geführt. Das deutsche Bußgeldrecht nach dem OWiG setzt dies bei einer Sanktionierung eines Unternehmens aber zwingend voraus. Die BlnBDI ging davon aus, dass i. R. v. Art. 83 DSGVO eine „strict liability“ gelte, so dass es entgegen dem Rechtsstaatsprinzip auf einen Tatnachweis nicht ankomme. Das betroffene Unternehmen ging gegen den Bußgeldbescheid vor, welchen das LG Berlin dann aufhob. Zudem stellte das Gericht das Verfahren nach § 206a StPO iVm §§ 46, 71 OWiG ein. Hiergegen legte die Berliner StA sofortige Beschwerde zum KG ein, welches die entscheidungserheblichen Fragen um die Auslegung von Art. 83 DSGVO im Rahmen eines Vorabentscheidungsverfahrens nach Art. 267 AEUV dem EuGH zur Auslegung vorlegte (Vorlagebeschl. v. 06.12.2021, 3 Ws 250/21).

Der EuGH ist bezüglich Tatsachenfragen und nationalen Rechtsfragen streng an die Darstellungen und Wertungen des KG gebunden. Hiervon konnte der EuGH auch bei den teilweise erkennbaren erheblichen Zweifeln nicht abweichen. Der EuGH war vielmehr ausschließlich zur verbindlichen Entscheidung der auslegungsbedürftigen, bislang ungeklärten Fragen des Unionsrechts berufen.

C. Position der Datenschutzbehörden

In der datenschutzrechtlichen Praxis orientieren sich Unternehmen zur Vermeidung von aufsichtsbehördlichen Maßnahmen meist an der Rechtsauffassung der Datenschutzbehörden. Dass dies für Unternehmen nicht immer zielführend ist, zeigt die Position der Datenschutzbehörden in Bezug auf eine „strict liability“ geradezu exemplarisch.

Das gemeinsame Abstimmungsgremium der deutschen Datenschutzbehörden, die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), ging vor der Entscheidung des EuGH von einem „supranationalem Sanktionsregime“ nach Maßgabe ihrer Interpretation des Art. 83 DSGVO aus (siehe beispielsweise DSK-Stellungnahme v. 05.01.2023; abrufbar unter https://www.datenschutz-konferenz-online.de/media/st/20230118_DSK_Stellungnahme_Datenschutzverstoesse_von_Unternehmen.pdf).

Dieses sollte den Behörden aus Sicht der DSK die Verhängung von Bußgeldern ohne unnötigen Aufwand und in effizienter Weise ermöglichen. Dabei formulierte die DSK klar, dass eine „strict liability“ in erster Linie Tatfeststellungen und Tatnachweise verhindern sollte, um den Aufsichtsbehörden den hierfür nötigen „Aufwand“ zu ersparen. Dabei überging die DSK, dass entsprechende Feststellungen beziehungsweise Nachweise nach dem deutschen Rechtsstaatsprinzip und nach § 66 OWiG geboten sind.

Die in der DSK repräsentierten Behörden sind nach Art. 20 Abs. 3 GG an Recht und Gesetz sowie an das Prinzip der Gesetzmäßigkeit der Verwaltung gebunden. Dennoch formulierte die DSK ausdrücklich, dass sie vor allem den „enormen Aufwand“ bei der Ausermittlung von Verstößen in großen Unternehmen mit Konzernstrukturen vermeiden wollte: „Den Nachweis eines Organisations- oder Überwachungsverschuldens einer Leitungsperson erbringen zu können, wird schwieriger, je größer das Unternehmen und seine organisatorischen Verflechtungen sind, insbesondere bei großen börsennotierten Konzernen“ (DSK-Stellungnahme v. 05.01.2023, S. 15). Insbesondere sei „der Nachweis […] regelmäßig mit einem erheblichen Aufwand verbunden“ (DSK-Stellungnahme vom 05.01.2023, S. 16).

D. EuGH: Keine „strict liability“

Der EuGH hat der geforderten „strict liability“ eine klare Absage erteilt. Ein auf Grundlage von Art. 83 DSGVO verhängtes Bußgeld erfordert nach Ansicht der Großen Kammer des EuGH zwingend den Nachweis, „dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangenen hat“ (Urt. v. 05.12.2023 – C-807/21, Antwort auf Vorlagefrage 2). Dies bestätigt aus Sicht des EuGH neben dem klaren Wortlaut von Art. 83 Abs. 2 DSGVO auch die Systematik und der Zweck der DSGVO insgesamt.

Für die Praxis bedeutet dies, dass die Verhängung eines Bußgeldes gegen ein Unternehmen (i) die Feststellung einer schuldhaft begangenen Tat sowie (ii) den konkreten Nachweis der schuldhaften Tat erfordert.

E. Anforderungen des EuGH für die „Zurechnung“ eines DSGVO-Verstoßes

Aufgrund der vom KG gestellten Vorlagefragen befasste sich der EuGH in seiner Entscheidung vor allem mit den Anforderungen an die Identifizierung von Mitarbeitern, die im Namen des Unternehmens als datenschutzrechtlich Verantwortliche handeln. Letztlich ging es dabei um die Fragestellung, ob ein Bußgeld gegen ein Unternehmen voraussetzt, dass die Behörde zuvor eine (individualisierte) natürliche Person identifizieren muss, welche den Verstoß gegen die DSGVO begangen hat.

I. Sanktionierung von juristischen Personen im deutschen Recht

Das deutsche Recht setzt eine solche eindeutige Identifizierung natürlicher Personen nicht voraus. Vielmehr ist es aufgrund von § 30 Abs. 4 OWiG im Wege einer sogenannten selbstständigen Verbandsbuße möglich dem Unternehmen die Verletzung der Aufsichtspflicht durch die Unternehmensleitung zuzurechnen, wenn diese einen Gesetzesverstoß von Mitarbeitern nicht entsprechend ihrer gesetzlichen Verpflichtungen verhindert (vgl. §§ 30, 130, 9 OWiG). Es ist hierfür nicht erforderlich, dass eine Behörde einen konkret handelnden Mitarbeiter unterhalb der Leitungsebene oder konkret verantwortliche Angehörige der Unternehmensleitung benennt.

I. Vorgaben des KG, an welche der EuGH gebunden war

Der Vorlagebeschluss des KG erwähnte die für die Sanktionierung von juristischen Personen im deutschen Recht zentrale Vorschrift des § 130 OWiG nicht einmal. Das KG stellte in seinem Vorlagebeschluss also eine unrichtige Rechtslage dar, was auch zu einem deutlichen Widerspruch der Vertreter der Bundesrepublik Deutschland in der Verhandlung vor dem EuGH führte.

Aufgrund der Verfahrensgrundsätze des Vorabentscheidungsverfahrens nach Art. 267 AEUV war der EuGH für seine Entscheidung dennoch an die Vorgaben des KG gebunden, was der EuGH selbst folgendermaßen beschrieb: „Es ist darauf hinzuweisen, dass der Gerichtshof in Bezug auf die Auslegung von Bestimmungen des nationalen Rechts grundsätzlich gehalten ist, die sich aus der Vorlageentscheidung ergebenden rechtlichen Würdigungen zugrunde zu legen. Nach ständiger Rechtsprechung ist der Gerichtshof nämlich nicht befugt, das innerstaatliche Recht eines Mitgliedstaats auszulegen“ (Urt. v. 05.12.2023 – C-807/21, Rn. 36).

III. Vom EuGH aufgestellte Vorgaben

Vor diesem Hintergrund stellte der EuGH klar, dass die von ihm in der Entscheidung aufgestellten Vorgaben zur Zurechnung eines DSGVO-Verstoßes nur für Fälle gelten sollen, in denen es unter dem anwendbaren nationalen Recht notwendig ist, eine konkrete, den Vorgaben der DSGVO zuwider handelnde Person zu identifizieren (Urt. v. 05.12.2023 – C-807/21, Rn. 37).

Konkret sollen Unternehmen laut EuGH für Verstöße haften, die von Leitungspersonal begangen wurden, aber auch für Verstöße, welche sonstige Personen begangen haben, „die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Person handel[n]“ (Urt. v. 05.12.2023 – C-807/21, Rn. 44). Außerdem „muss es möglich sein, die in Art. 83 DSGVO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können“ (Urt. v. 05.12.2023 – C-807/21, Rn. 44).

Tatsächlich sieht das deutsche Recht dies bereits vor. Eine Zurechnung von Aufsichtspflichtverletzungen der Unternehmensleitung und damit eine Haftung für Bußgelder ist über §§ 30, 130, 9 OWiG möglich. Außerdem ist nach § 30 OWiG eine unmittelbare Sanktionierung von Unternehmen möglich – das Unternehmen ist dabei eine sogenannte Nebenbeteiligte. Über § 30 Abs. 4 OWiG ist dabei auch dann die Möglichkeit einer unmittelbaren, selbstständigen Sanktionierung des Unternehmens gegeben, wenn kein Verfahren gegen die in § 30 Abs. 1 Nr. 1 bis Nr. 5 OWiG genannten Leitungspersonen eingeleitet oder ein solches eingestellt wird.

Einer umfassenden Analogie zum unionsrechtlichen Wettbewerbsrecht sowie einem supranationalen Sanktionsregime erteilt der EuGH damit eine klare Absage. Nach dem EuGH sind Art. 58 Abs. 2 DSGVO und Art. 83 Abs. 1 bis Abs. 6 DSGVO „dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde“ (Urt. v. 05.12.2023 – C-807/21, Antwort auf Vorlagefrage 1).

Im deutschen Recht ist dies aber gerade nicht der Fall. Wie bereits dargestellt, ist es auch nach dem OWiG nicht notwendig individuelle Mitarbeiter, die durch ihre Handlungen gegen die Vorgaben der DSGVO verstoßen, oder konkretes Leitungspersonal, das seine Aufsichtspflichten verletzt hat, zu identifizieren. Bei einer verständigen Würdigung der Aussagen des EuGH bleibt also kein Raum für Zweifel an der Anwendbarkeit des nationalen Bußgeldrechts.

F. Festlegung des maximalen Bußgeldrahmens laut EuGH

Für die datenschutzrechtliche Praxis und die Datenschutzbeauftragten von Unternehmen sind darüber hinaus die vom EuGH zur Bestimmung des einschlägigen Bußgeldrahmens getroffenen Vorgaben von erheblicher Bedeutung. Dies gilt insbesondere, da aus kommerzieller Sicht die Verhängung eines Bußgeldes neben Schadenersatzforderungen nicht selten das größte Risiko im Zusammenhang mit Verstößen gegen die DS-GVO darstellt. Obwohl die Vorlagefragen des KG die Thematik überhaupt nicht betrafen, sah sich der EuGH im Rahmen eines Obiter Dictum dazu veranlasst zur Festlegung des Bußgeldrahmens nach Art. 83 Abs. 4 bis Abs. 6 DSGVO Stellung zu nehmen.

Dabei stellte der EuGH in Bezug auf konzernangehörige Unternehmen klar, dass für die Bestimmung des für Art. 83 Abs. 4 beziehungsweise Abs. 5 DSGVO einschlägigen Jahresumsatzes die wirtschaftliche Einheit nach Art. 101, 102 AEUV heranzuziehen ist (Urt. v. 05.12.2023 – C-807/21, Rn. 55 bis 59). Aufgrund der Bezugnahme von ErwG 150 S. 3 DSGVO auf die Regelungen des unionsrechtlichen Kartellrechts ist für den EuGH die relevante „wirtschaftliche Einheit“ der gesamte Konzern – nicht das bloße, konkret gegen die DSGVO verstoßende konzernangehörige Unternehmen.

G. Praktische Konsequenzen für die datenschutzrechtliche Praxis im Unternehmen

Unternehmen und ihre Datenschutzbeauftragten können aus der Entscheidung des EuGH einige Schlüsse für die Verteidigung gegen mögliche Bußgelder ziehen. Diese können den Unternehmen helfen das Risiko von rechtskräftig gegen die juristische Person verhängte Bußgelder zu reduzieren. Beispielsweise sollte man die neuere Rechtsprechung zum Anlass nehmen die Offenlegung von möglichen Schwachstellen gegenüber Datenschutzbehörden zu überdenken. Nachdem Gerichte und Behörden hier zunehmend strenge Maßstäbe anlegen, sollten Unternehmen in laufenden Verfahren gründlich prüfen, ob sie von Aussageverweigerungsrechten Gebrauch machen.

H. Ausblick

Zwischenzeitlich hat das KG den Rechtsstreit nach der Entscheidung des EuGH an das LG Berlin zurückverwiesen. Es bleibt zu hoffen, dass sich andere deutsche Gerichte nicht der Auffassung des KG anschließen, dass selbst eine vollständig DSGVO-konforme Organisation nicht vor Bußgeldern schützen solle. Den Vorgaben des EuGH entspricht diese Folgerung jedenfalls nicht.

Es ist zudem davon auszugehen, dass sich das Verfahren noch über einige Zeit hinziehen wird, denn bislang betraf es ausschließlich prozessuale Fragen. Die materiellrechtlichen Fragen des Verfahrens, etwa wann personenbezogene Daten gelöscht werden müssen oder wie sie archiviert werden können, sind bislang kein Gegenstand richterlicher Kontrolle gewesen. Es liegt nahe, dass sich der EuGH vor allem mit den entscheidungsrelevanten Fragen zur Löschung von Daten, aber auch mit den hier angesprochenen Fragen noch einmal auseinandersetzen wird.

Über die Autoren

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.