Der EuGH hat am 5.12.2023 in der Rechtssache C 807/21 (Deutsche Wohnen SE) entschieden, dass die Verhängung einer Geldbuße nach Art 83 DSGVO ein Verschulden zur Voraussetzung hat. Weiters stellt der EuGH klar, dass es für die Verhängung einer Geldbuße gegen eine juristische Person (Unternehmen) nicht erforderlich ist, dass eine natürliche identifizierte Person, die den Verstoß tatsächlich begangen hat, zuvor festgestellt werden muss, um den Datenschutzverstoß dem Unternehmen zuzurechnen. In dieser Entscheidung geht es daher um wesentlichen um die Frage, ob Verschulden für eine Bestrafung wegen Datenschutzverstößen notwendig ist (anders als in unserem Blog (Un)Abhängigkeit von Verschulden für immateriellen Schadenersatz im Datenschutz | KWR, in dem es um die Frage des Verschuldens im Zusammenhang mit Schadenersatz ging).
Ausgangsfall
Gegen die Deutsche Wohnen SE wurde ein Bußgeld iHv. 14,5 Millionen Euro verhängt. Grund dafür war ein Verstoß gegen Löschpflichten. Die Deutsche Wohnen SE speicherte personenbezogene Daten von Mietern länger als erforderlich. Gespeichert wurden (auch noch nach Auszug der Mieter) personenbezogene Daten, wie Identitätsnachweise, Daten über Vormietverhältnisse sowie Steuer-, Sozial- und Krankenversicherungsdaten, dies auch über die Aufbewahrungsfristen hinaus.
Dagegen erhob die Deutsche Wohnen SE Einspruch. Das Landgericht Berlin (als Rechtsmittelinstanz) stellte das Bußgeldverfahren ein, da nach deutschem Ordnungswidrigkeitenrecht (§ 30 OWiG) Unternehmen nur dann bestraft werden können, wenn festgestellt wird, dass die Verletzungshandlung durch eine natürliche und identifizierte (Führungs)Person erfolgt und dem Unternehmen zugerechnet werden kann. Eine solche Feststellung sei aber nicht erfolgt, weswegen die Verhängung einer Geldbuße nicht möglich sei.
Gegen die Einstellung des Verfahrens wurde Beschwerde beim Kammergericht Berlin erhoben. Dieses legte dem EuGH zwei Fragen betreffend die Auslegung von Art 83 DSGVO vor:
- Kann ein Bußgeld gegen ein Unternehmen verhängt werden, ohne dass der Rechtsverstoß einer identifizierten natürlichen Person des Unternehmens festgestellt werden muss?
- Bedarf es für die Verhängung einer Geldbuße eines Verschuldens oder reicht ein objektiver Pflichtenverstoß aus?
EuGH: Feststellung einer natürlichen identifizierten Person nicht erforderlich
Der EuGH führt aus, dass Unternehmen (als Verantwortliche) für Verstöße haften, die von Vertretern, Leitern, Geschäftsführern oder von jeder anderen Person begangen wurden, sofern im Rahmen der unternehmerischen Tätigkeit gehandelt wurde. Es komme nicht darauf an, dass zuvor festgestellt wird, dass ein Verstoß von einer identifizierten natürlichen Person begangen worden sein muss. Die deutsche Regelung (§ 30 OWiG) stehe im Widerspruch zu Art 83 DSGVO.
EuGH: Ja zur Verschuldenshaftung
Zur Frage, ob ein Verschulden der juristischen Person für die Verhängung einer Geldbuße erforderlich ist, entschied der EuGH, dass Fahrlässigkeit oder Vorsatz notwendig ist. Eine verschuldensunabhängige Haftung könne aus Art 83 nicht abgeleitet werden.
Für Fragen steht Ihnen das KWR Datenschutzteam gerne zur Verfügung.