Mit seinem heutigen Urteil (C-807/21) stellt der EuGH fest, dass datenschutzrechtliche Bußgelder direkt gegen Unternehmen festgesetzt werden können, ohne dass eine Pflichtverletzung einer Leitungsperson (z. B. Vorstand, Geschäftsführung) nachgewiesen werden muss. Damit bestätigt der EuGH die Sanktionspraxis der Datenschutzaufsichtsbehörden und stärkt so die effektive Durchsetzung von Sanktionen gegenüber Unternehmen.
Hintergrund ist ein Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) in Höhe von rund 14,5 Millionen Euro gegen die Deutsche Wohnen SE wegen der ausufernden Speicherung von Daten von Mieter:innen. Vor dem EuGH ging es um die Grundsatzfrage, ob ein Unternehmen als juristische Person unmittelbar für Datenschutzverstöße nach der Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Für eine direkte Sanktionierung des Unternehmens reicht der europäischen Rechtsprechung zufolge die Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen. Es bedarf noch nicht einmal einer Kenntnis der Leitungspersonen von dem Verstoß. Diese Ansicht deckt sich mit der Auffassung der BlnBDI, wie sie auch im Bußgeldverfahren vertreten wurde. Sie entspricht auch der Auffassung aller deutschen Datenschutzaufsichtsbehörden. Bereits 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit einer Entschließung darauf hingewiesen, dass die nationalen Haftungsregeln bislang nicht europarechtskonform angepasst wurden.
Zudem entschied der EuGH, dass ein Verstoß nur bejaht werden kann, wenn er vorsätzlich oder fahrlässig begangen wurde. Allerdings weist der EuGH auch darauf hin, dass ein Verantwortlicher für ein Verhalten sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt. In dem Bußgeldverfahren gegen die Deutsche Wohnen SE hatte die BlnBDI in dem Bußgeldbescheid ein vorsätzliches Handeln festgestellt.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen war in Deutschland gegenüber anderen EU-Mitgliedstaaten
deutlich erschwert. Dies widersprach dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und stand nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Die Entscheidung des EuGH in dieser Frage sorgt damit für die erforderliche Rechtssicherheit bei den Aufsichtsbehörden aber auch den Unternehmen.“