Im Januar 2023 veröffentlichten die deutschen Datenschutzbehörden eine gemeinsame Stellungnahme zu zwei grundlegenden Fragen zur Sanktionierung von Datenschutzverstößen nach der EU Datenschutz-Grundverordnung (DS-GVO). Die EuGH-Entscheidung steht noch aus. Was kann auf Unternehmen in puncto Haftung zukommen?
Die gemeinsame Stellungnahme veröffentlichten die deutschen Datenschutzbehörden durch ihr Gremium, der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Die DSK folgt mit ihrer Stellungnahme der Linie des Europäischen Datenschutzausschusses (EDSA). Dies ist wenig überraschend.
Die Antworten der DSK auf folgende vom EuGH zu beantwortenden Fragen sind eindeutig. Es wird sich zeigen, zu welcher Auslegung der EuGH kommt. Die beiden Fragen lauten zusammengefasst:
- Kann ein Unternehmen in Deutschland unmittelbar für Datenschutzverstöße nach der DS-GVO sanktioniert werden (Unternehmensgeldbuße)?
Die zusammengefasste Antwort der DSK: Ja. Das Handeln von Organen und Mitarbeitenden ist zuzurechnen. Außerdem ist der Begriff „Unternehmen“ i.S.d. Kartellrechts auszulegen und beschränkt sich daher v.a. nicht auf einzelne juristische Personen.
- Kommt es auf ein Verschulden des Unternehmens an (oder reicht es aus, dass der Verstoß dem Unternehmen objektiv zurechenbar ist)?
Die zusammengefasste Antwort der DSK: Nein. Die Bußgeldhaftung ist unabhängig vom Verschulden. Ein zuzuordnender objektiver Pflichtenverstoß reicht aus („strict liability“).
Sollte der EuGH der Auffassung der Datenschutzbehörden folgen, würde das den Datenschutzbehörden erleichtern, Bußgelder zu verhängen. Die Folge: Das praktische Risiko, dass es zu Geldbußen kommt, dürfte deutlich steigen.
Was ist der Hintergrund der Stellungnahme?
Das europäische Datenschutzrecht unterstellt das Sanktionsverfahren weitgehend dem Recht der einzelnen Mitgliedstaaten. Das bedeutet: Konzeptionelle Unterschiede können zu Abweichungen bei der Sanktionierung in einzelnen Fällen führen, z.B. in Deutschland. Eine der Kernfragen aus Sicht des deutschen Rechts ist daher, ob Art. 83 Abs. 4-6 DS-GVO eine unmittelbare Sanktionierung von Unternehmen erlaubt oder ob das Fehlverhalten natürlicher Personen dem Unternehmen zurechenbar sein muss (nach § 30 Gesetz über Ordnungswidrigkeiten (OWiG)).
In Deutschland gibt es bisher v.a. zwei Gerichtsentscheidungen zu dieser Thematik. Diese gelangen zu völlig unterschiedlichen Ergebnissen:
- Das Landgericht Bonn (Beschluss 29 OWi 1/20 vom 11. November 2020) stellte in seinem Urteil fest, dass ein Bußgeld nach der DS-GVO auch ohne den Nachweis einer Pflichtverletzung durch eine bestimmte natürliche Person verhängt werden könne, d.h. ohne das Erfordernis einer Zurechnung nach § 30 OWiG.
Gegenstand der Sanktionierung sei der Datenschutzverstoß als Erfolg und nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen. Nach dem Funktionsträgerprinzip hafte das Unternehmen daher als funktionale Einheit, ohne dass es dafür der Kenntnis oder einer Anweisung der Geschäftsführung oder der Verletzung einer Aufsichtspflicht bedürfe. Die Grundsätze des supranationalen Kartellrechts seien daher anwendbar.
- Im Gegensatz dazu entschied das Landgericht Berlin (Beschluss 526 OWi vom 18. Februar 2021): Die Pflichtverletzung einer bestimmten natürlichen Person sei für die Verhängung einer Geldbuße nach der DS-GVO erforderlich. Insofern müsse § 30 OWiG (über § 41 Abs. 1 S. 1 Bundesdatenschutzgesetz) Anwendung finden. Die Folge: Das Landgericht Berlin stellte das Verfahren ein.
Hintergrund der Entscheidung war ein Bußgeld in Höhe von 14,5 Millionen Euro gegen einen deutschen Immobilienkonzern. Das Bußgeld wurde gegen die juristische Person verhängt.
Die Berliner Staatsanwaltschaft wiederum brachte im Einvernehmen mit der Landesdatenschutzbeauftragten eine Beschwerde ein. Damit landete das Verfahren beim Kammergericht Berlin. Dieses hat die wesentlichen Rechtsfragen dem EuGH zur Vorabentscheidung vorgelegt.
Was bedeutet Art. 83 DS-GVO für die Haftung von Unternehmen?
Das Kammergericht Berlin ersuchte den EuGH zu klären, wie Art. 83 DS-GVO im Hinblick auf die Haftung von Unternehmen auszulegen ist. Die Fragen lauten zusammengefasst:
- Ist Art. 83 Abs. 4-6 DS-GVO in dem Sinne auszulegen, dass der Begriff „Unternehmen“ i.S.d. EU-Kartellrechts funktional zu verstehen ist und Unternehmen unmittelbar für Datenschutzverstöße nach der DS-GVO haften können („Funktionsträgerprinzip“ – d.h. die handelnde Person muss nicht identifiziert werden und muss kein Vertreter/Geschäftsführer sein)
oder
setzt die Bußgeld-Haftung eines Unternehmens für einen Verstoß gegen die DS-GVO voraus, dass eine natürliche und identifizierte Person eine Ordnungswidrigkeit begangen hat (z.B. Vertreter oder Geschäftsführer – „Rechtsträgerprinzip“)?
- Ist es erforderlich, dass das Unternehmen – vermittelt durch die betreffende Person innerhalb des Unternehmens – den Verstoß vorsätzlich oder fahrlässig begangen hat („Schuldprinzip“)
oder
reicht es aus, dass der Verstoß dem Unternehmen objektiv zurechenbar ist („Verschuldensunabhängige Haftung“/„strict liability“)?
Position des Europäischen Datenschutzausschusses
Der Europäische Datenschutzausschuss (EDSA) positionierte sich bereits im Mai 2022 mit neuen Leitlinien. In diesen stellt der EDSA ausdrücklich fest, dass der „[…] unionsrechtliche Grundsatz und Anwendungsbereich der Unternehmenshaftung Vorrang hat und nicht durch eine Beschränkung auf die Handlungen bestimmter Funktionsträger (wie z.B. Hauptgeschäftsführer) im Widerspruch zum nationalen Recht ausgehöhlt werden darf.“
Aktuelle Stellungnahme der DSK
Im Ergebnis folgt die DSK der Stellungnahme des EDSA und positioniert sich ebenfalls klar. Die DSK vertritt folgende Auffassung: Für ein DS-GVO-Bußgeldverfahren bedürfe es rechtlich gesehen nur der Feststellung, „[…] dass Mitarbeitende des Unternehmens einen Verstoß gegen die DS-GVO begangen haben, ohne dass die konkret handelnden Mitarbeitenden ermittelt werden oder Leitungspersonen des Unternehmens sein müssen.“ Zudem sei es nach ihrer Einschätzung nicht notwendig, dass der Pflichtverstoß schuldhaft begangen wurde. Eine objektive Zurechnung eines Datenschutzverstoßes zu einem Unternehmen reiche aus.
Die 22-seitige Stellungnahme befasst sich im Detail mit Argumenten und Gegenargumenten für das Funktionsträgerprinzip und die verschuldensunabhängige Haftung:
1. Vorlagefrage: Funktionsträgerprinzip
Bislang kennt das deutsche Recht das Konzept der strafrechtlichen Haftung von Unternehmen nicht. Nur bei Straftaten oder Ordnungswidrigkeiten, die Vertreter oder leitende Angestellten begehen, können Bußgelder gegen das Unternehmen selbst verhängt werden. Diesen Grundsatz regelt § 30 Abs. 1 OWiG.
Laut DSK sei § 30 OWiG als deutsche Rechtsvorschrift nicht im Rahmen von Art. 83 DS-GVO anwendbar. Die DSK argumentiert: Die Sanktionen nach Art. 83 DS-GVO seien keine strafrechtlichen, sondern (nur) verwaltungsrechtliche Sanktionen. Daher handle es sich auch um keinen Verstoß gegen das Schuldprinzip.
Sie weist v.a. darauf hin, dass wegen Erwägungsgrund 150 der DS-GVO der Begriff „Unternehmen“ entsprechend den Grundsätzen des EU-Kartellrechts auszulegen sei. Analog zum EU-Kartellrecht sollen daher Unternehmen für Verstöße direkt haftbar sein – unabhängig davon, welche Person berechtigt für das Unternehmen gehandelt hat.
„Unternehmen“ könne insofern jede eine wirtschaftliche Tätigkeit ausübende Einheit sein, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung (z.B. eine Unternehmensgruppe).
Außerdem erwähnt die DSK den Effektivitätsgrundsatz „effet utile“ (Grundsatz des effektiven Vollzugs des Europarechts) und dass ein einheitliches und wirksames Sanktionssystem im Rahmen der DS-GVO eingeführt werden solle. Das könne nur bei einer direkten Unternehmenshaftung gewährleistet werden.
2. Vorlagefrage: Verschuldensunabhängige Haftung
Hinsichtlich der zweiten Vorlagefrage spricht sich die DSK für eine verschuldensunabhängige Haftung aus. Es reiche allein ein dem Unternehmen zuzuordnender objektiver Pflichtverstoß. Sie argumentiert v.a., dass in anderen Sanktionsvorschriften in EU-Verordnungen ausdrücklich Vorsatz oder Fahrlässigkeit verlangt werde und dass der Gesetzgeber dies in Art. 83 DS-GVO nicht aufgenommen habe. Gleichzeitig sähen auch andere EU-Verordnungen verschuldensunabhängige Sanktionen vor.
Zudem weist die DSK darauf hin, dass die Europäische Kommission und der Europäische Rat im Rahmen des Gesetzgebungsverfahrens vorgeschlagen haben, Fahrlässigkeit und Vorsatz als Voraussetzung für eine Sanktion aufzunehmen. Diese Vorschläge seien jedoch gestrichen worden. Dabei handle es sich um eine bewusste Entscheidung des Gesetzgebers.
Zudem müsse im Sinne einer effektiven Durchsetzung der DS-GVO auf eine Verschuldensvoraussetzung verzichtet werden.
Grundlegende Weichenstellung für Sanktionierung von Datenschutzverstößen
Laut Marit Hansen, der Landesbeauftragten für Datenschutz Schleswig-Holstein und Vorsitzenden der DSK für 2023, bedeutet die Entscheidung des EuGH „für Deutschland eine grundlegende Weichenstellung“. Nicht nur die Datenschutzbehörden warten nun gespannt auf den Ausgang des Verfahrens.
Es besteht Hoffnung, dass die Entscheidung des EuGH für Rechtssicherheit in diesen essentiellen Fragen bei der Sanktionierung von Datenschutzverstößen sorgen wird. Inhaltlich wird sich zeigen, ob sich der EuGH der Auffassung des EDSA und der DSK anschließen wird.