EuGH zur Bußgeldhaftung („Deutsche Wohnen“) und Funktionsträger vs. Rechtsträgerprinzip

Mit Urteilen vom 05.12.2023 in den Rechtssachen C-683/21 und C-807/21 hat der EuGH grundlegende Rechtsfragen im Zusammenhang mit der Bußgeldhaftung für Datenschutzverstöße beantwortet.

Der EuGH hat entschieden, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DS-GVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies sei dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DS-GVO verstößt.

Handele es sich bei dem Verantwortlichen um eine juristische Person, sei es nicht erforderlich, so der EuGH, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr hafte eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person aufgrund einer Datenschutzverletzung dürfe nicht von der Voraussetzung abhängig gemacht werden, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde. Gehört der Adressat der Geldbuße zu einem Konzern, bemesse sich diese nach dem Jahresumsatz des Konzerns, so der EuGH.

Mit den Urteilen beendet der EuGH die praxisrelevante Diskussion, ob im Hinblick auf DS-GVO-Bußgelder das sog. Funktionsträger- oder aber das sog. Rechtsträgerprinzip gilt, in ersterem Sinne. Nach dem nationalen Ordnungswidrigkeitenrecht (§ 30 Gesetz über Ordnungswidrigkeiten – OWiG) können Bußgelder gegenüber Unternehmen nur verhängt werden, sofern eine Führungskraft eine vorsätzliche oder fahrlässige Tat begangen hat, die dem Unternehmen zugerechnet werden kann (Rechtsträgerprinzip).

Dies begründet hohe Anforderungen an die Bußgeldhaftung, weil es für ein Bußgeld stets eines nachgewiesenen Fehlverhaltens einer Leitungsperson bedarf. Das Rechtsträgerprinzip hatte das LG Berlin (Beschl. v. 18.02.2021 – (526 OWi LG) 212 Js-OWi 1/20 (1/20)) in dem Rechtsstreit zugrunde gelegt, der Ausgangspunkt für das Vorabentscheidungsersuchen an den EuGH war, und das Bußgeldverfahren gegen die Deutsche Wohnen eingestellt.

Anders als das LG Berlin hatte kurz zuvor das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) in einem Bußgeldverfahren gegen den Telekommunikationsanbieter 1&1 entschieden. § 30 OWiG könne im Hinblick auf Datenschutzbußgelder gegenüber Unternehmen keine Anwendung finden, so das LG Bonn. Dafür sprächen der Anwendungsvorrang der DS-GVO im Allgemeinen sowie der Wirksamkeitsgrundsatz des Europarechts, der ausgehöhlt würde, wenn nationale Haftungsregeln die Sanktionsmöglichkeiten einschränken würden. Es wäre nicht mehr europaweit sichergestellt, dass dieselben Bußgeldregelungen gelten, was dem Verordnungscharakter der DS-GVO zuwiderliefe. Eine Kenntnis oder gar Anweisung der Geschäftsführung oder die Verletzung der Aufsichtspflicht sei daher keine Voraussetzung für ein Bußgeld nach der DS-GVO, so das LG Bonn. Vielmehr hafte der Verband unmittelbar für den Verstoß, gleichgültig, welche natürliche Person für ihn gehandelt hat (unmittelbare Verbandshaftung).

Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.

(Foto: bht2000 – stock.adobe.com)