Datenschutz-Bußgeld: Kein Nachweis einer persönlichen Verursachung durch Unternehmensleitung notwendig

Bußgeldbescheid der Berliner Beauftragte für Datenschutz und Informationsfreiheit
2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hatte die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.

Einstellung durch das Landgericht Berlin
Das Landgericht Berlin stellte Februar 2021 das Bußgeldverfahren der BlnBDI gegen die Deutsche Wohnen SE ein. Es ging dabei von einem Verfahrenshindernis aus, ohne sich mit den von der BlnBDI festgestellten Datenschutzverstößen auseinanderzusetzen.

Das Landgericht Berlin vertrat die Rechtsauffassung, dass Bußgelder gegen juristische Personen nur verhängt werden könnten, wenn eine nachgewiesene konkrete Handlung von Leitungspersonen oder gesetzlichen Vertreter*innen dargelegt wird, die zu dem Bußgeldtatbestand geführt hat. Es setzte sich damit nach Auffassung der BlnBDI in Widerspruch zu der Auffassung sämtlicher deutschen Datenschutzaufsichtsbehörden (vgl. die Entschließung der Datenschutzkonferenz vom 3. April 2019) sowie zu einem Urteil des Landgerichts Bonn zu einem datenschutzrechtlichen Bußgeldverfahren gegen einen Telekommunikationsanbieter. Die Auslegung des deutschen Ordnungswidrigkeitenrechts durch das Landgericht Berlin stehe nicht im Einklang mit dem Willen des europäischen Gesetzgebers.

Vorlage des Falls beim EuGH
Auch die aktuelle BlnBDI, Meike Kamp, vertrat die Auffassung ihrer Vorgängerin und war der Meinung, dass dies dem Ziel einer einheitlichen Durchsetzung europäischen Rechts widerspreche und nicht im Einklang mit der DS-GVO stehe.
Bußgelder gegen juristische Personen entsprächen den Regeln der Datenschutz-Grundverordnung (DSGVO) und des EU-Rechts. Gerade bei großen Konzernen sei der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen.
Das sah wohl auch die Berliner Staatsanwaltschaft so und brachte im Einvernehmen mit der Landesdatenschutzbeauftragten eine Beschwerde ein. Damit war Verfahren beim Berliner Kammergericht. Dieses hatte die wesentlichen Rechtsfragen dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vorgelegt.

Schlussanträge des Generalanwalts
Im Fokus des Vorabentscheidungsersuchens standen die Fragen,

-ob gegen die juristische Person eine Sanktion verhängt werden kann, ohne dass zuvor die Verantwortlichkeit einer natürlichen Person festgestellt zu werden braucht;

-ob der geahndete Verstoß in jedem Fall vorsätzlich oder fahrlässig begangen worden sein muss oder ob ein rein objektiver Verstoß gegen eine Verpflichtung genügt.

Ende April 2023 hat der Generalanwalt Manuel Campos Sánchez-Bordon des Europäischen Gerichtshofs seine Schlussanträge in der Sache Deutsche Wohnen vorgelegt. Im Ergebnis stellt er fest, dass die Behörden Bußgelder nach der DS-GVO direkt gegen Unternehmen verhängen könnten, aber dies nur unter der Vorassetzung möglich ist, dass die Behörde ein vorsätzliches oder fahrlässigen Handeln eines Mitarbeiters nachweisen kann.
Obwohl der EuGH nicht verpflichtet ist, den Schlussanträgen des Generalanwalts zu folgen, neigt er in vielen Fällen dazu, deren Rechtsauffassung zu übernehmen. Es bleibt jedoch unklar, wann genau der EuGH sein Urteil verkünden wird.

(Foto: fotoheide – stock.adobe.com)