EuGH zu DSGVO-Bußgeldern: Verschulden ja, Rechtsträgerprinzip nein

Am 5. Dezember 2023 hat der EuGH einer verschuldensunabhängigen Haftung für Bußgelder wegen Verstößen gegen die DSGVO eine Absage erteilt (Urt. v. 5.12.2023 – C-807/21 – Deutsche Wohnen; s. schon zuvor im Evolution-Blog). Ein Fehlverhalten eines individuellen Mitarbeiters muss jedoch nicht nachgewiesen werden. Für Unternehmen hält das Urteil daher nicht nur gute Nachrichten bereit.

1. Jede zurechenbare Handlung genügt

Nach Auffassung des EuGH setzt die Bußgeldhaftung nicht voraus, dass einer einzelnen natürlichen Person der Verstoß nachgewiesen werden kann. Art. 83 DSGVO verlange vielmehr nur einen DSGVO-Verstoß des Verantwortlichen oder Auftragsverarbeiters „im Rahmen der unternehmerischen Tätigkeit und [im] Namen dieser juristischen Person“. Das Rechtsträgerprinzip (§§ 30, 130 OWiG), welches stets den Nachweises individuellen Fehlverhaltens erfordert, ist damit – zumindest im Datenschutzrecht – passé.

Dabei hat sich der EuGH maßgeblich darauf gestützt, dass sich die materiellen Anforderungen an die Verhängung von Bußgeldern ausschließlich aus Art. 83 DSGVO ergeben und den Mitgliedstaaten kein Raum bleibt, die Bußgeldhaftung durch zusätzliche nationale Kriterien einzuschränken.

2. Keine „strict liability“

Die gute Nachricht: Der EuGH hat immerhin der teilweise geforderten „strict liability“- eine klare Absage erteilt. Eine solche verschuldensunabhängige Haftung war unter anderem von den deutschen Aufsichtsbehörden gefordert worden (DSK Stellungnahme vom 5.1.2023). Der Gerichtshof hat vielmehr betont, dass Art. 83 Abs. 2 lit. b DSGVO ausdrücklich Vorsatz oder Fahrlässigkeit des Verantwortlichen als Voraussetzung für die Verhängung eines Bußgelds verlange. Ein Ermessens- oder Gestaltungsspielraum der Mitgliedstaaten bestehe nicht, da dies dem Regelungsziel der DSGVO zuwiderliefe, ein unionsweit gleichwertiges und einheitliches Schutzniveau zu gewährleisten.

So deutlich der EuGH betont hat, dass es auf ein nachgewiesenes Verschulden des Verantwortlichen ankommt, so offen hat er die Frage gelassen, wessen Verschulden sich der Verantwortliche zurechnen lassen muss. Genügt jedes Verschulden einer für den Verantwortlichen tätigen Person oder muss es sich um das Verschulden einer Leitungsperson handeln?

• Für die erste Lesart spricht, dass der EuGH in Rz. 77 der Entscheidung ausdrücklich ausführt „Art. 83 DSGVO [setze] keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraus […]“.

• Allerdings hätte eine Bußgeldhaftung für jede schuldhafte Datenschutzverletzung im Unternehmen auch zur Folge, dass sich Verantwortliche selbst durch die Umsetzung der besten technischen und organisatorischen Maßnahmen nicht vor einem Bußgeld schützen könnten. Dies widerspräche der mit den Bußgeldvorschriften verfolgten und vom EuGH hervorgehobenen Funktion der Bußgelder, „einen Anreiz [zu schaffen], der DSGVO nachzukommen“ (vgl. Rz. 44). Denn: Hat der Verantwortliche bereits die besten technischen und organisatorischen Maßnahmen getroffen, kann er durch Bußgelder für Verstöße einzelner Mitarbeiter, die durch diese Maßnahmen nicht verhindert werden konnten, nicht zu „noch konformerem“ Verhalten veranlasst werden. Ein Bußgeld könnte den vom EuGH hervorgehobenen Steuerungszweck nicht erreichen.

• Konsequenterweise bedürfte es für die Haftung des Unternehmens eines Verstoßes gegen die Organisations- oder Überwachungspflichten (irgendeiner) Leitungsfunktion und genügt das Verschulden eines beliebigen Mitarbeiters nicht.

Es bleibt zu hoffen, dass sich auch beim Gericht das Verständnis durchsetzt, dass es auf ein Verschulden von Leitungspersonen und damit im Wesentlichen auf die Verletzung von Organisations- und Überwachungspflichten ankommt. Andernfalls drohen nicht nur die dargestellten Widersprüche zur Steuerungsfunktion von Bußgeldern, sondern auch dogmatische Herausforderungen, z.B. beim richtigen Umgang mit Mitarbeiterexzessen (etwa der vorsätzlichen Herbeiführung einer Datenschutzverletzung durch Angestellte).

3. Ausblick und Konsequenzen für die Praxis

Verantwortliche können also nur auf den ersten Blick aufatmen. Zwar setzt die Verhängung eines Bußgelds stets ein Verschulden voraus, allerdings genügt bereits die Handlung eines beliebigen Mitarbeiters des Verantwortlichen oder Auftragsverarbeiters.

Es bleibt mit Spannung abzuwarten, ob und wann sich der EuGH zum Bezugssubjekt des Verschuldens und zur weiten Auslegung des „Unternehmensbegriffs“ nach kartellrechtlichem Vorbild, wie im obiter dictum angedeutet, äußert.