Seit vielen Jahren sorgt ein datenschutzrechtliches Bußgeldverfahren gegen die Berliner Deutsche Wohnen SE immer wieder für Aufsehen in den interessierten Fachkreisen. Wie ein Jojo bewegt sich ein Bußgeldbescheid der Berliner Datenschutzaufsicht aus dem Jahre 2019 über Euro 14,5 Millionen im Widerspruchsverfahren der Wohnungsgesellschaft vom Berliner Landgericht über das Kammergericht zum Europäischen Gerichtshof und jetzt wieder zurück zum Landgericht. Was ist der Hintergrund?
Der Ausgangspunkt: Millionenbußgeld und die Frage nach der Haftung von Geschäftsführern im Datenschutz
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit wirft der Deutsche Wohnen vor, personenbezogene Daten von 15 Mietern, nämlich deren Bonitätsauskünfte, nicht gelöscht zu haben, obwohl diese Daten für die Durchführung der Mietverhältnisse nicht (mehr) erforderlich waren. Gegen den Bescheid legte die Deutsche Wohnen Einspruch ein und die Sache landete schließlich nach den Regeln des deutschen Ordnungswidrigkeitengesetzes beim Landgericht in Berlin. Die Verteidigung der Wohnungsgesellschaft steht im Wesentlichen auf zwei Säulen:
Rechtsanwalt Sendler: „Zum einen bestehe materiellrechtlich keine Löschpflicht in den beanstandeten Fällen. Zum anderen sei der Bußgeldbescheid bereits aus formalen Gründen unwirksam. Denn nach dem damaligen Verständnis des deutschen Ordnungswidrigkeitenrechts stand das Thema Datenschutz und die Haftung der Geschäftsführer im Fokus: Ein Bescheid könne sich nicht gegen ein Unternehmen, sondern nur gegen gesetzeswidrig handelnde natürliche Personen richten, nämlich Unternehmensvertreter wie Geschäftsführer oder konkrete Mitarbeiter.“
Das Landgericht Berlin stellte daraufhin das gesamte Bußgeldverfahren ein, weil zuvor kein Verstoß einer natürlichen Person festgestellt worden sei. Die Sache ging daraufhin auf Betreiben der Berliner Datenschutzaufsicht an das Kammergericht. Dieses hatte Zweifel daran, ob die Vorschriften des Ordnungswidrigkeitengesetzes mit der Datenschutzgrundverordnung vereinbar seien und legte die Sache dem europäischen Gerichtshof (EuGH) zur Entscheidung über diese Rechtsfrage vor.
Das EuGH-Urteil: Wann haftet das Unternehmen für Datenschutzverstöße?
Anwalt Sendler: „Der EuGH entschied Anfang Dezember 2023 (Urteil vom 5. Dezember 2023, Aktenzeichen C-807/21), dass die Bußgeldhaftung eines Unternehmens nicht davon abhängig ist, ob zuvor ein Verstoß einer natürlichen Person als Unternehmensvertreter festgestellt worden ist. Außerdem stellten die Luxemburger Richter fest, dass die Verhängung eines Bußgeldes stets ein Verschulden voraussetzt, was im Falle von juristischen Personen einem Unternehmensverschulden entspricht.“
Damit war die Aufsichtsbehörde in ihrer Auffassung bestätigt, dass es für die Verhängung eines Bußgeldes wegen eines feststehenden Verstoßes nicht erforderlich ist, eine konkrete mitarbeitende Person zu finden, die Daten rechtswidrig verarbeitet hat. Damit sind alle erfasst, die im Namen der juristischen Person und im Zusammenhang mit ihrer geschäftlichen Tätigkeit handeln.
Rechtsanwalt Sendler: „Daraus folgt aber gleichzeitig, dass das Unternehmen für Mitarbeiter, die nicht im Rahmen ihrer geschäftlichen Tätigkeit handeln, ebenso wenig haftet wie für das Handeln unternehmensfremder Dritter, z.B. im Rahmen einer Cyberattacke. Ein – bußgeldbewehrter – Verstoß des Unternehmens kann aber dann vorliegen, wenn es keine hinreichenden Maßnahmen zur Verhinderung solcher betriebsfremden Zugriffe getroffen hat.“
Bemerkenswert an dem Urteil des EuGH vom 5. Dezember 2023 ist des Weiteren, dass das Gericht auch noch klargestellt hat, dass es für die Bemessung des Bußgeldes in der Regel nicht auf die Leistungsfähigkeit der juristischen Person als Unternehmenseinheit ankommt, sondern auf die Jahresumsätze eines Konzerns oder Unternehmensverbundes.
Rechtsanwalt Sendler: „Aus Sicht der Aufsichtsbehörde ging es um die entscheidende Grundsatzfrage, wie weit im Datenschutz die Haftung für Geschäftsführer und Unternehmen reicht und ob ein Unternehmen als juristische Person unmittelbar für Datenschutzverstöße nach der DSGVO sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit durch eine identifizierte Leitungsperson festgestellt worden ist. Nach der europäischen Rechtsprechung reicht die Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben. Es bedarf keiner Kenntnis einer Leitungsperson des Unternehmens von dem Verstoß.“
Des Weiteren ist von großer rechtsdogmatischer Bedeutung an der Entscheidung des EuGH vom 5. Dezember 2023, dass ein Verstoß, so die Luxemburger Richter, nur schuldhaft, also vorsätzlich oder fahrlässig, begangen werden kann. Hierfür reiche es, wenn ein Verantwortlicher über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren gewesen sein kann, und zwar unabhängig davon, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt.
Anwalt Sendler: „Bis zu diesem Spruch des EuGH war die Sanktionierung von Datenschutzverstößen durch Unternehmen in Deutschland gegenüber anderen EU-Mitgliedstaaten erheblich erschwert. Dies widersprach dem Ziel einer unionseinheitlichen Durchsetzung europäischen Rechts. Denn gerade bei großen Konzernen und Unternehmenszusammenschlüssen ist der Nachweis einer persönlichen Verursachung in der Regel nicht zu führen. Die Entscheidung des EuGH hat insoweit zu Rechtssicherheit bei allen Beteiligten geführt.“
Neue Rechtssicherheit und die Folgen für die Praxis ab 2026
Nach der Entscheidung durch den EuGH im Dezember 2023 ist die Sache nun wieder beim Landgericht Berlin anhängig und dort wird seit Anfang März 2026 erneut verhandelt. Hier wird sicherlich noch eine vertiefte Befassung mit dem Urteil des EuGH stattfinden. Gegen die Entscheidung des Landgerichts Berlin ist letztinstanzlich im Rechtsbeschwerdeverfahren das Kammergericht als Revisionsinstanz zuständig.
Rechtsanwalt Sendler: „Die Entscheidung des EuGH zeigt, dass beim Datenschutz die Haftung nicht bei den Geschäftsführern persönlich hängen bleibt und dass Unternehmen konsequent darauf achten und sicherstellen müssen, dass Datenschutzvorgaben in ihrer gesamten Organisation sorgfältig im Rahmen eines Datenschutz-Managementsystems umgesetzt und von allen Beteiligten konsequent beachtet werden.“
Fazit und Handlungsempfehlung zur Haftung bei Datenschutzverstößen
Die Entscheidung des EuGH hat zwar Klarheit über die unmittelbare Unternehmenshaftung gebracht, entlastet die Führungsebene jedoch keineswegs von ihrer Verantwortung. Im Gegenteil: Um existenzbedrohende Bußgelder, die sich am weltweiten Konzernumsatz orientieren, effektiv zu verhindern, ist ein rechtssicheres und gelebtes Datenschutz-Managementsystem unverzichtbar.
Sichern Sie Ihr Unternehmen und Ihre Führungsebene ab!
Als erfahrener Experte für Datenschutz und Arbeitsrecht unterstützt Rechtsanwalt Ralph Sendler Sie, das komplexe Zusammenspiel von Datenschutz, der Haftung für Geschäftsführer und den damit verbundenen arbeitsrechtlichen Pflichten rechtssicher zu gestalten. Er berät bei Fragen rund um die Organhaftung von Geschäftsführern und begleitet Sie als zertifizierter Datenschutzbeauftragter und Datenschutzauditor auch bei der lückenlosen Umsetzung aller DSGVO-Vorgaben in Ihrem Unternehmen.
Kontaktieren Sie Rechtsanwalt Sendler für eine fundierte Beratung.
