Datenschutz-Bußgeld: Kein Nachweis einer persönlichen Verursachung durch Unternehmensleitung notwendig
Bußgeldbescheid der Berliner Beauftragte für Datenschutz und Informationsfreiheit
2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hatte die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.
Einstellung durch das Landgericht Berlin
Das Landgericht Berlin stellte Februar 2021 das Bußgeldverfahren der BlnBDI gegen die Deutsche Wohnen SE ein. Es ging dabei von einem Verfahrenshindernis aus, ohne sich mit den von der BlnBDI festgestellten Datenschutzverstößen auseinanderzusetzen.
Das Landgericht Berlin vertrat die Rechtsauffassung, dass Bußgelder gegen juristische Personen nur verhängt werden könnten, wenn eine nachgewiesene konkrete Handlung von Leitungspersonen oder gesetzlichen Vertreter*innen dargelegt wird, die zu dem Bußgeldtatbestand geführt hat. Es setzte sich damit nach Auffassung der BlnBDI in Widerspruch zu der Auffassung sämtlicher deutschen Datenschutzaufsichtsbehörden (vgl. die Entschließung der Datenschutzkonferenz vom 3. April 2019) sowie zu einem Urteil des Landgerichts Bonn zu einem datenschutzrechtlichen Bußgeldverfahren gegen einen Telekommunikationsanbieter. Die Auslegung des deutschen Ordnungswidrigkeitenrechts durch das Landgericht Berlin stehe nicht im Einklang mit dem Willen des europäischen Gesetzgebers.
Vorlage des Falls beim EuGH
Auch die aktuelle BlnBDI, Meike Kamp, vertrat die Auffassung ihrer Vorgängerin und war der Meinung, dass dies dem Ziel einer einheitlichen Durchsetzung europäischen Rechts widerspreche und nicht im Einklang mit der DS-GVO stehe.
Bußgelder gegen juristische Personen entsprächen den Regeln der Datenschutz-Grundverordnung (DSGVO) und des EU-Rechts. Gerade bei großen Konzernen sei der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen.
Das sah wohl auch die Berliner Staatsanwaltschaft so und brachte im Einvernehmen mit der Landesdatenschutzbeauftragten eine Beschwerde ein. Damit war Verfahren beim Berliner Kammergericht. Dieses hatte die wesentlichen Rechtsfragen dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vorgelegt.
Schlussanträge des Generalanwalts
Im Fokus des Vorabentscheidungsersuchens standen die Fragen,
-ob gegen die juristische Person eine Sanktion verhängt werden kann, ohne dass zuvor die Verantwortlichkeit einer natürlichen Person festgestellt zu werden braucht;
-ob der geahndete Verstoß in jedem Fall vorsätzlich oder fahrlässig begangen worden sein muss oder ob ein rein objektiver Verstoß gegen eine Verpflichtung genügt.
Ende April 2023 hat der Generalanwalt Manuel Campos Sánchez-Bordon des Europäischen Gerichtshofs seine Schlussanträge in der Sache Deutsche Wohnen vorgelegt. Im Ergebnis stellt er fest, dass die Behörden Bußgelder nach der DS-GVO direkt gegen Unternehmen verhängen könnten, aber dies nur unter der Vorassetzung möglich ist, dass die Behörde ein vorsätzliches oder fahrlässigen Handeln eines Mitarbeiters nachweisen kann.
Obwohl der EuGH nicht verpflichtet ist, den Schlussanträgen des Generalanwalts zu folgen, neigt er in vielen Fällen dazu, deren Rechtsauffassung zu übernehmen. Es bleibt jedoch unklar, wann genau der EuGH sein Urteil verkünden wird.
(Foto: fotoheide – stock.adobe.com)
Letztes Update:01.05.23
Verwandte Produkte
Das könnte Sie auch interessieren
-
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren -
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren -
Ransomware-Angriff: Mangelhafte Datensicherung führt zu Totalverlust
Der aktuelle Tätigkeitsbericht 2025 der Landesbeauftragten für den Datenschutz Brandenburg (LDA) dokumentiert einen abgeschlossenen Fall (S. 47), der die Grenzen rein formaler Backup-Konzepte verdeutlicht: Eine Arztpraxis meldete der Aufsichtsbehörde nach Art. 33 DS-GVO eine Datenschutzverletzung infolge eines Ransomware-Angriffs. Betroffen waren rund 75 Gigabyte medizinischer und administrativer Daten von über 8.000 Patientinnen und Patienten. Ein Datenabfluss
Mehr erfahren



