.png){kind=logo}
EuGH zu DSGVO-BuĂgeldern: Verschulden ja, Rechtsträgerprinzip nein
- kreis80
- 5. Dez. 2023
- 3 Min. Lesezeit
Am 5. Dezember 2023 hat der EuGH einer verschuldensunabhängigen Haftung fĂźr BuĂgelder wegen VerstĂśĂen gegen die DSGVO eine Absage erteilt (Urt. v. 5.12.2023 â C-807/21 â Deutsche Wohnen; s. schon zuvor im Evolution-Blog). Ein Fehlverhalten eines individuellen Mitarbeiters muss jedoch nicht nachgewiesen werden. FĂźr Unternehmen hält das Urteil daher nicht nur gute Nachrichten bereit.
1. Jede zurechenbare Handlung genĂźgt
Nach Auffassung des EuGH setzt die BuĂgeldhaftung nicht voraus, dass einer einzelnen natĂźrlichen Person der VerstoĂ nachgewiesen werden kann. Art. 83 DSGVO verlange vielmehr nur einen DSGVO-VerstoĂ des Verantwortlichen oder Auftragsverarbeiters âim Rahmen der unternehmerischen Tätigkeit und [im] Namen dieser juristischen Personâ. Das Rechtsträgerprinzip (§§ 30, 130 OWiG), welches stets den Nachweises individuellen Fehlverhaltens erfordert, ist damit â zumindest im Datenschutzrecht â passĂŠ.
Dabei hat sich der EuGH maĂgeblich darauf gestĂźtzt, dass sich die materiellen Anforderungen an die Verhängung von BuĂgeldern ausschlieĂlich aus Art. 83 DSGVO ergeben und den Mitgliedstaaten kein Raum bleibt, die BuĂgeldhaftung durch zusätzliche nationale Kriterien einzuschränken.
2. Keine âstrict liabilityâ
Die gute Nachricht: Der EuGH hat immerhin der teilweise geforderten âstrict liabilityâ- eine klare Absage erteilt. Eine solche verschuldensunabhängige Haftung war unter anderem von den deutschen AufsichtsbehĂśrden gefordert worden (DSK Stellungnahme vom 5.1.2023). Der Gerichtshof hat vielmehr betont, dass Art. 83 Abs. 2 lit. b DSGVO ausdrĂźcklich Vorsatz oder Fahrlässigkeit des Verantwortlichen als Voraussetzung fĂźr die Verhängung eines BuĂgelds verlange. Ein Ermessens- oder Gestaltungsspielraum der Mitgliedstaaten bestehe nicht, da dies dem Regelungsziel der DSGVO zuwiderliefe, ein unionsweit gleichwertiges und einheitliches Schutzniveau zu gewährleisten.
So deutlich der EuGH betont hat, dass es auf ein nachgewiesenes Verschulden des Verantwortlichen ankommt, so offen hat er die Frage gelassen, wessen Verschulden sich der Verantwortliche zurechnen lassen muss. Genßgt jedes Verschulden einer fßr den Verantwortlichen tätigen Person oder muss es sich um das Verschulden einer Leitungsperson handeln?
FĂźr die erste Lesart spricht, dass der EuGH in Rz. 77 der Entscheidung ausdrĂźcklich ausfĂźhrt âArt. 83 DSGVO [setze] keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraus [âŚ]â.
Allerdings hätte eine BuĂgeldhaftung fĂźr jede schuldhafte Datenschutzverletzung im Unternehmen auch zur Folge, dass sich Verantwortliche selbst durch die Umsetzung der besten technischen und organisatorischen MaĂnahmen nicht vor einem BuĂgeld schĂźtzen kĂśnnten. Dies widerspräche der mit den BuĂgeldvorschriften verfolgten und vom EuGH hervorgehobenen Funktion der BuĂgelder, âeinen Anreiz [zu schaffen], der DSGVO nachzukommenâ (vgl. Rz. 44). Denn: Hat der Verantwortliche bereits die besten technischen und organisatorischen MaĂnahmen getroffen, kann er durch BuĂgelder fĂźr VerstĂśĂe einzelner Mitarbeiter, die durch diese MaĂnahmen nicht verhindert werden konnten, nicht zu ânoch konformeremâ Verhalten veranlasst werden. Ein BuĂgeld kĂśnnte den vom EuGH hervorgehobenen Steuerungszweck nicht erreichen.
Konsequenterweise bedĂźrfte es fĂźr die Haftung des Unternehmens eines VerstoĂes gegen die Organisations- oder Ăberwachungspflichten (irgendeiner) Leitungsfunktion und genĂźgt das Verschulden eines beliebigen Mitarbeiters nicht.
Es bleibt zu hoffen, dass sich auch beim Gericht das Verständnis durchsetzt, dass es auf ein Verschulden von Leitungspersonen und damit im Wesentlichen auf die Verletzung von Organisations- und Ăberwachungspflichten ankommt. Andernfalls drohen nicht nur die dargestellten WidersprĂźche zur Steuerungsfunktion von BuĂgeldern, sondern auch dogmatische Herausforderungen, z.B. beim richtigen Umgang mit Mitarbeiterexzessen (etwa der vorsätzlichen HerbeifĂźhrung einer Datenschutzverletzung durch Angestellte).
3. Ausblick und Konsequenzen fĂźr die Praxis
Verantwortliche kĂśnnen also nur auf den ersten Blick aufatmen. Zwar setzt die Verhängung eines BuĂgelds stets ein Verschulden voraus, allerdings genĂźgt bereits die Handlung eines beliebigen Mitarbeiters des Verantwortlichen oder Auftragsverarbeiters.
Es bleibt mit Spannung abzuwarten, ob und wann sich der EuGH zum Bezugssubjekt des Verschuldens und zur weiten Auslegung des âUnternehmensbegriffsâ nach kartellrechtlichem Vorbild, wie im obiter dictum angedeutet, äuĂert.