Voraussetzungen der Verhängung von Datenschutzbußgeldern gegen Unternehmen

Im Verfahren um ein Bußgeld nach der DSGVO gegen die Deutsche Wohnen SE iHv. 14,5 Mio € hat der EuGH-Generalanwalt seine Schlussan­träge gestellt. Danach ist die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängig. Die Verwaltungsgeldbußen setzen jedoch voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.

Der Sachverhalt:
Im Juni 2017 wies die Berliner Beauftragte für den Datenschutz (im Folgenden: Datenschutzbehörde) die Deutsche Wohnen SE darauf hin, dass ihre Konzerngesellschaften personenbezogene Daten von Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht nachvollzogen werden könne, ob die Speicherung erforderlich und gewährleistet sei, dass nicht mehr erforderliche Daten gelöscht würden.

Die Deutsche Wohnen SE ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin (Deutschland). Sie hält über Beteiligungen mittelbar rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten. Im Rahmen ihrer Geschäftstätigkeit verarbeiten Deutsche Wohnen SE und ihre Tochtergesellschaften die personenbezogenen Daten der Mieter der Immobilien. Bei diesen Daten handelt es sich u.a. um Identitätsnachweise, Steuer‑, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen.

Im Oktober 2020 erließ die Datenschutzbehörde gegen Deutsche Wohnen SE einen Bußgeldbescheid, da diese es vorsätzlich unterlassen habe, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen. Außerdem habe die Deutsche Wohnen SE personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich gewesen sei.

Die Geldbußen beliefen sich auf ca. 14,5 Mio € wegen vorsätzlicher Verstöße gegen Art. 25 Abs. 1 und Art. 5 Abs. 1 Buchst. a, c und e DSGVO. Das LG Berlin gab der dagegen erhobenen Klage statt. Die Staatsanwaltschaft Berlin focht diese Entscheidung vor dem KG an, das dem EuGH folgende Fragen zur Vorabentscheidung vorlegt:

1.      Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass er den den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?

2.      Falls die erste Frage bejaht wird: Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss [vgl. Art. 23 der Verordnung (EG) Nr. 1/2003](4), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

Schlussanträge des Generalanwalts:
Der Generalanwalt schlägt dem EuGH nun vor, dem KG wie folgt zu antworten:

Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung

ist dahin auszulegen, dass

die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.

Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.

Mehr zum Thema:

Aufsatz:
Zur Sanktionierung von Datenschutzverstößen von Unternehmen
Stefan Drewes / Wolfgang Walchner, CR 2023, 163

Aufsatz:
Rechtsentwicklungen 2022: Rechtsentwicklungen im Datenschutzrecht 2022
Daniel Pauly / Selma Nabulsi, DB 2022, 61

Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!