Generalanwalt für „strict liability“ von Unternehmen bei Datenschutzverstößen durch die Hintertür
Vor dem Europäischen Gerichtshof (EuGH) werden derzeit im Verfahren Deutsche Wohnen SE ./. Staatsanwaltschaft Berlin (C-807/21) grundlegende Fragen zu den Voraussetzungen für die Verhängung von Bußgeldern gegen Unternehmen bei Datenschutzverstößen verhandelt.
Generalanwalt Campos Sánchez-Bordona hat sich in seinen Schlussanträgen gegen den Ansatz der „strict liability“ ausgesprochen. Er plädiert dafür, dass ein Bußgeldverfahren direkt gegen ein Unternehmen geführt werden kann. Zwar soll ein rein objektiver Verstoß gegen das Datenschutzrecht – unabhängig von einem etwaigen Verschulden – nicht ausreichen, um eine Geldbuße verhängen zu können. Faktisch sollen aber die Grenzen der Fahrlässigkeit so abgesenkt werden, dass dies faktisch einer verschuldensunabhängigen Haftung gleichkommt. Sollte der EuGH den Schlussanträgen folgen, würde dies die Haftungsrisiken für Unternehmen deutlich erhöhen.
Hintergrund
Die Deutsche Wohnen SE ist eine börsennotierte Immobiliengesellschaft mit Sitz in Berlin, die mittelbar rund 163.000 Wohn- und 3.000 Gewerbeeinheiten hält. Das operative Geschäft und die Verwaltung erfolgen innerhalb des Konzerns durch Tochtergesellschaften. Die Tochtergesellschaften verarbeiten bei ihrer Geschäftstätigkeit personenbezogene Daten der Mieterinnen und Mieter. Dabei handelt es sich zum Teil um Daten, die für die Betroffenen von erheblicher Bedeutung sind, wie zum Beispiel Personalausweiskopien, Kontoauszüge, Gehaltsbescheinigungen sowie Steuer-, Sozial- und Krankenversicherungsdaten.
Die Berliner Beauftragte für den Datenschutz hat 2017 nach einer Vor-Ort-Kontrolle gegenüber der Deutsche Wohnen SE beanstandet, dass ihre Konzerngesellschaften personenbezogene Daten von Mieterinnen und Mietern in einem elektronischen Archivsystem speichern. Es könne aber nicht nachvollzogen werden, ob diese Speicherung erforderlich sei und ein Löschungskonzept für nicht mehr erforderliche Daten bestehe. Daher forderte die Berliner Datenschutzbehörde die Deutsche Wohnen SE dazu auf, die Daten aus dem Archivsystem zu löschen. Bei einer erneuten Prüfung in der Konzernzentrale des Unternehmens, bei der Stichproben aus dem Datenbestand gezogen wurden, stellte die Datenschutzbehörde im Jahr 2020 fest, dass die geforderte Löschung nicht erfolgt sei. In dem daraufhin erlassenen Bußgeldbescheid wird der Deutsche Wohnen SE vorgeworfen, es zwischen 2018 und 2019 vorsätzlich unterlassen zu haben, ein effektives Löschungskonzept einzuführen. Zudem habe die Stichprobe ergeben, dass personenbezogene Daten von mindestens 15 Mieterinnen und Mietern weiterhin gespeichert worden seien, obwohl bekannt gewesen sei, dass dies nicht mehr erforderlich sei.
Die Datenschutzbehörde hat gegen die Deutsche Wohnen SE eine Geldbuße in Höhe von rund EUR 14,39 Mio. wegen eines vorsätzlichen Verstoßes gegen die Datenverarbeitungsgrundsätze der Rechtmäßigkeit, der Datenminimierung und der Speicherbegrenzung verhängt (Art. 25 Abs. 1, Art. 5 Abs. 1 lit. a), c) und e) DS-GVO). Darüber hinaus verhängte sie 15 weitere Geldbußen in Höhe von jeweils EUR 3.000 bis EUR 17.000, wegen der fehlenden Rechtsgrundlage für die Verarbeitung (Art. 6 Abs. 1 DS-GVO).
Das Landgericht Berlin hat das Bußgeldverfahren nach Einspruch der Deutsche Wohnen SE eingestellt, da der Bußgeldbescheid an derart „gravierenden Mängeln“ leide, dass es schlicht an einer Grundlage für das Verfahren fehle. Zur Begründung führte das Gericht aus, dass eine juristische Person nicht Betroffene eines Bußgeldverfahrens sein könne. Nur natürliche Person könnten in vorwerfbarer Weise Ordnungswidrigkeiten begehen. Der juristischen Person könne nur die Handlung ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Juristische Personen könnten daher nur Nebenbeteiligte im Bußgeldverfahren sein. Die Voraussetzungen für die Verhängung von Geldbußen gegen juristische Personen seien gesetzlich abschließend geregelt (§ 30 OWiG). Ein selbstständiges Verfahren gegen die juristische Person sei zwar unter der Voraussetzung möglich, dass gegen ihr Organmitglied oder ihren Repräsentanten – also eine natürliche Person – ein Verfahren gar nicht eingeleitet oder ein eingeleitetes Verfahren eingestellt werde. Da die juristische Person aber nicht selbst eine Ordnungswidrigkeit begehen könne, müsse eine vorwerfbare Ordnungswidrigkeit eines Organmitgliedes der juristischen Person festgestellt werden. Eine unmittelbare Haftung des Unternehmens, also unabhängig von einem zurechenbaren Verschulden einer natürlichen Person, widerspräche dem im deutschen Recht verankerten Schuldprinzip.
Auf das Rechtsmittel der Staatsanwaltschaft Berlin hat das Kammergericht Berlin das Verfahren vorläufig ausgesetzt und eine Vorabentscheidung des EuGH zur Auslegung von Art. 83 Abs. 4 bis 6 DS-GVO ersucht.
- Mit der ersten Vorlagefrage soll geklärt werden, ob ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und damit – anders als im deutschen Ordnungswidrigkeitenrecht – gerade nicht die Feststellung erforderlich ist, dass die Ordnungswidrigkeit von einer natürlichen und identifizierten Person begangen worden ist.
- Die zweite Vorlagefrage richtet sich darauf, ob das Unternehmen den von einem Mitarbeiter verübten Verstoß schuldhaft begangen haben muss oder ob für eine Bußgeldbewährung bereits eine zurechenbare objektive Pflichtenverletzung ausreicht („strict liability“).
Schlussanträge des Generalanwalts: (Kein) grünes Licht für „strict liability“?
Der Generalanwalt hat nun in seinen Schlussanträgen die erste Vorlagefrage zur unmittelbaren Haftung eines Unternehmens zustimmend beantwortet. Dass juristische Personen unmittelbare Adressaten von Geldbußen sein können, sei angesichts der Definition des Verantwortlichen in Art. 4 DS-GVO „selbstverständlich“. Es handele sich dabei sogar um einen „Schlüsselmechanismus“, der die Wirksamkeit der DS-GVO gewährleiste. Verstöße seien Verantwortlichen auch als juristischen Personen unmittelbar zurechenbar, ohne dass auf die handelnden natürlichen Personen abgestellt werden müsste. Damit erklärt der Generalanwalt dem Ansatz des deutschen Ordnungswidrigkeitenrechts eine klare Absage. Die angeführte Begründung ist aber durchaus missverständlich:
„Letzten Endes führt die Zurechenbarkeit zu der juristischen Person selbst, soweit der Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind.“
Eine oberflächliche Betrachtung verleitet dazu, darin die Forderung des Generalanwalts nach einer Haftung für Organisationsverschulden zu sehen, die eine Zurechenbarkeit von einer Verletzung der Aufsichtspflicht abhängig macht („soweit“). Eine solche Interpretation dürfte aber nicht intendiert gewesen sein. Vielmehr drückt der Generalanwalt aus, dass eine allgemeine Zurechenbarkeit bereits deshalb besteht, weil jeder Verstoß eines Mitarbeiters letztendlich auf ein Versagen der unternehmensinternen Aufsicht schließen lässt. Dies legen jedenfalls die anderen Sprachfassungen dar. In der englischen Version heißt es beispielsweise:
„Finally, imputability ultimately leads to the legal person itself, since an infringement committed by an employee acting under the authority of its managing bodies is a failure in the control and supervision system, for which those managing bodies are directly responsible.”
Den Unternehmensbegriff will der Generalanwalt dabei als „wirtschaftliche Einheit“ verstehen und die Grundsätze aus dem europäischen Kartellrecht analog anwenden. Nur so könne sichergestellt werden, dass die Geldbuße gemäß Art. 83 Abs. 1 DS-GVO „wirksam, verhältnismäßig und abschreckend“ sei. Denn dafür sei erforderlich, dass sich ihre Höhe nach der „tatsächlichen oder materiellen Leistungsfähigkeit“ des Adressaten richtet.
Im Hinblick auf die zweite Vorlagefrage befürwortet der Generalanwalt vordergründig die Voraussetzung eines Verschuldens in Form von Vorsatz oder Fahrlässigkeit. Besondere Beachtung verdient aber das Verständnis des Generalanwalts vom Begriff des Verschuldens. Die Grenze zwischen Verschulden und rein objektiven Verstößen sei im Verwaltungssanktionsrecht nicht trennscharf zu ziehen. Gerade weniger schwerwiegende Schuldformen könnten kennzeichnend für ein Verhalten sein, das von einem Gericht aus anderer Perspektive als Fall objektiver Verantwortlichkeit angesehen werden könnte. Die Übernahme der dogmatischen Kategorien des Strafrechts (nulla poena sine culpa) in das Verwaltungssanktionsrecht führe daher zu erheblichen Auslegungsschwierigkeiten. Letztlich deutet der Generalanwalt damit eine Sichtweise an, nach der die Grenzen der Fahrlässigkeit so niedrig sind, dass dies faktisch einer verschuldensunabhängigen Haftung gleichkommt:
„Unter den Begriff des Verschuldens (in der Variante der Fahrlässigkeit) können Fälle der bloßen Nichtbeachtung einer Rechtsvorschrift fallen, wenn der Handelnde wissen musste, welches Handeln von ihm verlangt wird.“
Fazit und Ausblick
Nicht ohne Grund wird dem Verfahren von allen Seiten große Aufmerksamkeit geschenkt. Grund zur großen Erleichterung dürften die Schlussanträge allerdings nicht bieten. Indem der Generalanwalt einen derartig niederen Maßstab an die Fahrlässigkeit anlegt, könnte damit die „strict liability“ faktisch durch die Hintertür eingeführt werden. Der Ausgang des Verfahrens ist von grundlegender Bedeutung für die Bußgeldpraxis der deutschen Datenschutzbehörden. Sollte der EuGH tatsächlich den Grundsatz der „strict liability“ für das deutsche Recht fruchtbar machen, wird es den Aufsichtsbehörden künftig erheblich leichter fallen, in größerem Umfang hohe Bußgelder zu verhängen. Denn der Nachweis objektiver Pflichtverletzungen erfordert einen deutlich geringeren Ermittlungsaufwand als der tatsächliche Nachweis eines konkreten Verschuldens. Mittelbar stellt sich auch die Frage, ob Muttergesellschaften für Datenschutzverstöße ihrer Tochtergesellschaften haften können. Damit verbunden ist die Frage nach dem Unternehmensbegriff der DS-GVO. Der EuGH könnte diesen bei einem Konzern ähnlich wie im europäischen Kartellrecht als wirtschaftliche Einheit aller Konzerngesellschaften verstehen. Dies hätte immense Auswirkungen, da die Höhe etwaiger Bußgelder vom Umsatz des Unternehmens abhängt. Es verwundert insofern nicht, dass sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einer Stellungnahme bereits für eine solche Anpassung des deutschen Rechts ausgesprochen hat.
Sollte die „strict liability“ für das deutsche Recht tatsächlich kommen, wird es für Unternehmen in Zukunft erheblich schwieriger werden, sich in datenschutzrechtlichen Bußgeldverfahren zu verteidigen. Eine Entlastung durch den Nachweis fehlenden Verschuldens wäre dann nicht mehr möglich. Umso wichtiger wird es sein, bereits im Vorfeld für ein hohes Maß an Datenschutz-Compliance im Unternehmen zu sorgen, um auf Vor-Ort-Kontrollen der Datenschutzbehörden bestmöglich vorbereitet zu sein.
Eine solche Entscheidung dürfte mittelbar auch das Risiko für Unternehmen erhöhen, nach einem Datenschutzverstoß von Privatpersonen auf Schadensersatz in Anspruch genommen zu werden. Denn ob eine Muttergesellschaft für ihre Tochtergesellschaften haftet, bestimmt sich letztlich danach, ob der Konzern als wirtschaftliche Einheit Verantwortlicher im Sinne der DS-GVO ist. Dies gilt ebenso im Rahmen des Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO. Dies würde langfristig die private Rechtsdurchsetzung im Datenschutzrecht begünstigen.
(Die unübersichtliche deutsche Rechtsprechung dokumentieren wir in unserem Noerr Damages Tracker.)