Soeben wurde das lang erwartete EuGH-Urteil in Sachen der Deutschen Wohnen SE gegen die Staatsanwaltschaft Berlin veröffentlicht. Die beiden wichtigsten grob Erkenntnisse vorweg:
- Für die Verhängung eines Bußgeldes gegen ein juristische Person als Verantwortlicher ist es nicht erforderlich, den Verstoß einer zuvor identifizierten natürlichen Person zuzurechnen
- Das Schuldprinzip gilt auch bei bußgeldbewehrten Verstößen – ohne vorsätzliche oder fahrlässige Handlung/Unterlassen kann eine Geldbuße folglich nicht verhängt werden
Nicht nur die deutsche Datenschutzgemeinde wartet seit dem Vorlagebeschluss des Berliner Kammergerichts vom 6.12.2021 (3 Ws 250/21 – 161 AR 84/21) gespannt auf die nunmehr veröffentlichte Entscheidung des EuGH.
Grund dafür war eine Auseinandersetzung der Berliner Staatsanwaltschaft und der Deutschen Wohnen SE über ein erteiltes Bußgeld nach Art. 83 DSGVO. Das hierzu angerufene Landgericht Berlin (18.02.2021, 526 OWi LG 212 JS-Owi 1/20) vertrat dabei die Ansicht, dass die §§ 30 und 130 OWiG zu beachten seien und folglich kein Bußgeld gegen ein Unternehmen verhängen werden könne, ohne ein schuldhaftes Handeln einer Führungskraft (§ 30 OWiG) oder eine fahrlässige Unterlassung von Aufsichtsmaßnahmen nachweisen (§130 OWiG) zu können.
Nach den Schlussanträge des EuGH-Generalanwalts vom 27.4.2023 (C-807/21) durfte man jedoch bereits erahnen, dass sich der EuGH dieser Auffassung nicht anschließen würde.
Zur ersten Vorlagefrage:
„Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass er den den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?“
Antwort des EuGH:
Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Kurzum:
Nationales Recht findet keine Anwendung bei den abschließenden Bußgeldregelungen aus der DSGVO. Dies darf als Vereinfachung der Rechtsanwendung und vor allem Vereinheitlichung im europäischen Raum angesehen werden. Auch wurde „geklärt“ das der Begriff „Unternehmen“ im Sinne des Art. 101 und 102 AEUV zugrunde zu legen ist und sich die Höhe der Geldbuße anhand der tatsächlichen und materiellen Leistungsfähigkeit der wirtschaftlichen Einheit (Adressat) bemessen muss (Rn. 56, 58, 59).
Zur zweiten Vorlagefrage:
„Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss [vgl. Art. 23 der Verordnung (EG) Nr. 1/2003](4), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)“
Nur hilfsweise hat sich der Generalanwalt sodann mit der Frage befasst, ob ein Bußgeld schon dann verhängt werden darf, wenn eine datenschutzrechtliche Pflicht (objektiv) verletzt wurde, oder ob es darüber hinaus des Nachweises schuldhaften Handelns bedarf. Im Ergebnis meint der Generalanwalt, dass eine objektive Pflichtverletzung nicht ausreicht und stützt sich dabei maßgeblich auf Art. 83 Abs. 3 DSGVO, der vorsieht, dass in Fällen, in denen ein Verantwortlicher oder Auftragsverarbeiter „vorsätzlich oder fahrlässig“ gegen mehrere Bestimmungen der DSGVO verstößt (Zusammentreffen mehrerer Verstöße), die Höhe der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Daraus ergebe sich, dass rein objektive Verstöße für die Sanktion insoweit ohne Bedeutung sind, als sie nicht kumulativ zu vorsätzlichen oder fahrlässigen Verstößen berücksichtigt werden.
Antwort des EuGH:
Art. 83 der Verordnung 2016/679 ist dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Kurzum:
Das (europäische) Schuldprinzip findet Beachtung – die Anforderungen an Vorsatz und Fahrlässigkeit und deren Nachweis gegenüber einer juristischen Person bleiben bestehen.
Die Umsetzungsproblematik in Deutschland bleibt, denn bislang ist nur der Rückgriff über das Verschulden leitender Personen oder deren Nachlässigkeit bei der Überwachung nach dem OWiG bekannt, wie in concreto der Nachweis für Vorsatz/Fahrlässigkeit erbracht werden wird/muss wird man voraussichtlich dem Berliner Verfahren entnehmen dürfen.