Deutsche Wohnen vs. Berliner Datenschutzbehörde – Was bin ich und wenn ja, wie viele?
Am 27. April 2023 wurden die Schlussanträge des Generalanwalt Campos Sánchez-Bordona in dem Vorabentscheidungsverfahren zu „Deutsche Wohnen“ veröffentlicht. Im Zentrum des Verfahrens steht die Frage, für wen Unternehmen datenschutzrechtlich haften und welche Nachweise Datenschutzbehörden für diese Haftung erbringen müssen. Welchen Hintergrund hat die Entscheidung, was sagt der Generalanwalt und was bedeutet das zukünftig? Diese Fragen klären wir in dem folgenden Beitrag.
Was war passiert?
Am 30. Oktober 2020 erließ die Berliner Beauftragte für Datenschutz und Informationsfreiheit („BlnBDI“) einen Bußgeldbescheid über rund 14,5 Mio EUR gegen die Deutsche Wohnen SE („DeWo“) (Pressemitteilung v. 05.11.2019).
Die DeWo ist ein börsennotierter Immobilienkonzern, der überregional spätestens seit dem Berliner Volksentscheid über die Enteignung eben dieser bekannt ist. Während die DeWo die übergeordnete Leitung des Konzerns (z.B. Geschäftsführung, Personalwesen) übernimmt, verwalten Tochtergesellschaften als Serviceeinheiten die Immobilien und verarbeiten als Teil des operativen Geschäfts personenbezogene Daten der Mieter*innen.
Ein nicht ordnungsgemäßer Umgang mit eben diesen Mieter*innen-Daten war Hintergrund des Bußgeldbescheids. Nach Ansicht der BlnBDI seien – zusammengefasst – u.a. Identitätsnachweise, Steuer‑, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen länger gespeichert worden, als dies erforderlich gewesen sei. Zudem seien keine entsprechenden Maßnahmen implementiert worden, die eine regelmäßige Löschung gewährleistet hätten.
Die DeWo erhob gegen den Bußgeldbescheid Klage vor dem LG Berlin, das der Klage stattgab (Beschluss v. 18.02.2021). Auf die sofortige Beschwerde der Staatsanwaltschaft Berlin, war das Verfahren vor dem KG Berlin anhängig. Das Kammergericht setzte die Entscheidung aus und richtete ein Vorabentscheidungsersuchen an den EuGH (Vorlage v. 06.12.2021), das Grundsatzfragen zur Sanktionierung von Datenschutzverstößen in Unternehmen betrifft.
Was ist das Problem?
Das Dilemma der Unternehmenshaftung
Im Zentrum der Entscheidung steht Art. 83 Abs. 4-6 DSGVO, der „allgemeine Bedingungen für die Verhängung von Bußgeldern“ betrifft. Hiernach können Aufsichtsbehörden – abhängig von der Art des datenschutzrechtlichen Verstoßes – Unternehmen mit Bußgeldern in Höhe von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktionieren.
Auch das Datenschutzrecht sieht sich dabei mit einem grundlegenden Problem der Unternehmenshaftung konfrontiert:
Unternehmen können faktisch nicht selbst handeln, sondern tun dies notwendigerweise durch für sie tätige natürliche Personen (z.B. Angestellte oder Geschäftsführer*innen). Es braucht somit Zurechnungsregeln, um die Gesellschaft für den „menschengemachten“ Verstoß haftbar zu machen.
Neben den Blick in das „Innere“ der Gesellschaft, kommt häufig eine „Außenperspektive“. Denn die wirtschaftliche Realität besteht nicht mehr aus Einzelkaufmännern, sondern wird von Unternehmensgruppen dominiert, die untereinander in Abhängigkeits- und Weisungsverhältnissen stehen und damit jedenfalls wirtschaftlich teils untrennbar verbunden sind. Je nach Verflechtung und Einfluss ist auch hierbei eine Haftung denkbar.
Deshalb stellt sich die Frage: Für wen muss eine Gesellschaft nach der DSGVO bußgeldrechtlich haften?
Rechtsträgerprinzip vs. Funktionsträgerprinzip
Dies ist – nicht nur im Datenschutz – stark umstritten, wobei im Wesentlichen zwei Ansätze den Diskurs dominieren.
Während die DeWo dem Rechtsträgerprinzip nach OWiG folgt…
Die Vertreter des einen Lagers sind der Auffassung, dass die DSGVO die Sanktionierung von Gesellschaften nicht selbst regelt, sondern einen Ausgestaltungsspielraum für die Mitgliedsstaaten vorsieht. Deutschland hat sich in § 41 Abs. 1 BDSG dafür entschieden, für den Datenschutz auf die allgemeinen Regeln des Ordnungswidrigkeitenrechts Bezug zu nehmen.
Das deutsche Ordnungswidrigkeitenrecht stellt Leitungspersonen in den Vordergrund: Täter eines Verstoßes ist die natürliche Person, wobei die Haftung unter bestimmten Voraussetzungen auf die Gesellschaft „erweitert“ werden kann. Begehen Leitungspersonen selbst den zur Last gelegten Verstoß, ist eine Zurechnung regelmäßig unproblematisch. Denn verstößt beispielsweise ein/e Geschäftsführer*in einer GmbH als vertretungsberechtigtes Organ selbst gegen datenschutzrechtliche Vorgaben, kann auch gegen die Gesellschaft eine Geldbuße festgesetzt werden (§§ 30 Abs. 1, 9 OWiG).
Komplizierter hingegen sind Verstöße, die unterhalb der Leitungsebene begangen werden. Diese führen nur über „Umwege“ zu einer Haftung des Unternehmens. Auch insoweit bedarf es nämlich zusätzlich eines Fehlverhaltens auf Leitungsebene.
Das bedeutet: Eine Haftung des Unternehmens kann nur dann erfolgen, wenn dessen Leitungspersonen die rechtswidrig agierenden Mitarbeitenden nicht richtig beaufsichtigt haben (§ 130 OWiG). Gleiches gilt im Übrigen auch für die Haftung im Konzern, wonach es der Feststellung bedarf, dass z.B. (Tochter-)Gesellschaften nicht ausreichend beaufsichtigt wurden.
Befürworter dieser Ansicht im EuGH-Verfahren sind u.a. die DeWo sowie auch die deutsche Regierung, die eine entsprechende Stellungnahme eingereicht hat.
…orientieren sich die Datenschutzbehörden am Funktionsträgerprinzip des Kartellrechts
Die Vertreter des anderen Lagers sind hingegen der Auffassung, dass die DSGVO die Sanktionierung von Gesellschaften aus sich heraus vorsieht, ohne dass es auf nationale Zurechnungsregeln ankäme. Vorbild ist der „pragmatische“ Ansatz der Unternehmenshaftung im europäischen Kartellrecht. Zwar darf auch hier die Aufsichtsbehörde – je nach Art des Verstoßes – Geldbußen in Höhe von bis zu 10% des Umsatzes des vorangegangenen Geschäftsjahres gegen Unternehmen verhängen.
Der Unterschied: Das europäische Verständnis nutzt einen funktionalen (weiten) Unternehmensbegriff, der nicht notwendig die einzelne Gesellschaft (z.B. die einzelne AG oder GmbH) meint.
Das bedeutet: Die Gesellschaft selbst wird für den Verstoß sanktioniert, ohne dass die Verstöße einzelner Angestellter nachgewiesen werden müssten. Anders als bei § 30 OWiG ist es nach diesem Ansatz nicht erforderlich, dass eine Leitungsperson einen Rechtsverstoß begangen hat. Vielmehr gelten auch die individuellen Handlungen der übrigen Mitarbeitenden als Handlungen der kollektiven Gesamtunternehmung und können daher einer Haftung führen.
Legt man dies zugrunde, können sogar Verstöße in konzernverbundenen Gesellschaften (z.B. weisungsgebundene Tochtergesellschaften) erfasst werden, die gewissermaßen als unselbstständige „Unternehmensteile“ der wirtschaftlichen Einheit angesehen werden.
Im Verfahren gegen die DeWo vertreten die Deutschen Datenschutzbehörden diese Ansicht, wie aus der entsprechenden Stellungnahme der Datenschutzkonferenz zum Verfahren hervorgeht.
Wieso ist das relevant?
Was auf den ersten Blick nach einer Diskussion über theoretische Modelle aussieht, hat greifbare Praxisrelevanz. Denn aus Sicht der Datenschutzbehörden hätte eine funktionelle Betrachtung bedeutende Effizienzvorteile in der Bußgeldpraxis:
Die Ermittlung von betriebsinternen Strukturen und konkreten Abläufen ist insbesondere in Konzernstrukturen mit erheblichem Aufwand verbunden. Es besteht das Risiko, dass Datenschutzbehörden die Verstöße gegen die DSGVO nicht oder nur unter erheblichem Aufwand in so einer Weise rekonstruieren können, wie es für ein Bußgeldverfahren notwendig wäre. Die Erleichterungen für die Datenschutzbehörden würden sich auf verschiedenen Ebenen auswirken.
Dies betrifft zum einen den Umfang der Ermittlungsmaßnahmen der Datenschutzbehörden: Um ein Bußgeld gegen eine Gesellschaft selbst zu verhängen, müsste zukünftig nur festgestellt werden, dass das Unternehmen als datenschutzrechtlich Verantwortlicher einen Verstoß gegen die DSGVO begangen hat. Erforderlich wäre hingegen nicht mehr, dass dieser Verstoß – unmittelbar oder mittelbar über Organisations- und Überwachungspflichtverstöße – einer Leitungsperson zur Last gelegt werden kann.
Diesen Ansatz hat die BlnBDI bereits im vorliegenden Verfahren gegen die DeWo verfolgt. Interne Zuständigkeiten oder die Organisationsstruktur des Unternehmens wurden im Bußgeldbescheid nicht thematisiert (Vgl. LG Berlin, Beschl. v. 18.02.2021, Rn. 33).
Ist zudem ein Verstoß festgestellt, führt der „konzernweite“ Ansatz des Kartellrechts auch zu potenziell höheren Sanktionen. Ist nicht mehr der Vorjahresumsatz der (Einzel-)Gesellschaft, sondern des Konzerns für die Bemessung maßgeblich, verschiebt sich der Bußgeldrahmen im Einzelfall erheblich. Dies hat der EDSA zuletzt auch noch einmal in den Leitlinien zur Bußgeldbemessung ausdrücklich klargestellt (S. 34; Näheres zur Bußgeldbemessung hier).
Schlussendlich ist die Entscheidung des EuGH jedoch nicht nur unmittelbar relevant für die zukünftige Bußgeldpraxis im Datenschutz, sondern wirft auch lange Schatten auf grundsätzliche Kompetenzfragen zwischen der EU und den Mitgliedsstaaten. Denn die Einzelheiten des Bußgeldverfahren zu regeln, ist gemäß Art. 83 Abs. 8 DSGVO grundsätzlich Sache der Mitgliedsstaaten.
Was sagt der Generalanwalt?
Das KG Berlin hat dem EuGH zwei Fragen im Vorabentscheidungsverfahren vorgelegt. Die ersten Vorlagefrage des Kammergerichts besteht aus zwei Teilaspekten. Das KG möchte wissen, ob eine Geldbuße direkt gegen eine Gesellschaft verhängt werden kann und ob die Person im Verfahren identifiziert werden muss, die den Verstoß begangen hat.
Mit der zweiten Vorlagefrage möchte das KG Berlin außerdem geklärt wissen, ob Art. 83 Abs. 4-6 DSGVO eine verschuldensunabhängige Haftung des Unternehmens („strict liabilty“) vorsieht. Ein objektiver Pflichtverstoß gegen die DSGVO würde dann bereits für eine Haftung reichen. Dass dieser wenigstens fahrlässig verursacht wurde, wäre für eine Haftung nicht erforderlich.
Es gilt das Funktionsträgerprinzip bei Datenschutzverstößen…
Die Aussagen des Generalanwalts könnten wie folgt zusammengefasst werden: Ein Unternehmen haftet selbst und auch für Datenschutzverstöße durch Mitarbeitende ohne Leitungsfunktion. Hinsichtlich der Bußgeldhöhe wegen datenschutzrechtlicher Verstöße orientiert sich Art. 83 Abs 4-6 an dem weiten Unternehmensbegriff des Kartellrechts, sodass im Einzelfall auch der Konzernumsatz maßgeblich sein kann.
Nach Ansicht des Generalanwalts könnte eine Beschränkung auf Zuwiderhandlungen durch Leitungspersonen durch „Anwendung von § 30 OWiG zu einer ungerechtfertigten Schwächung oder Einschränkung der Bandbreite strafbarer Verhaltensweisen führen, die nicht mit der allgemeinen Geltung der DSGVO in Einklang steht.“ Der Generalanwalt stellte zwar fest, dass die Auslegung von nationalem Recht Aufgabe der innerstaatlichen Gerichte sei. Sollte aber das Haftungssystem des OWiG eine umfassende Haftung für Datenschutzverstöße beschränken, müssten diese Regelungen unangewendet bleiben, um so den Vorrang der DSGVO zu gewährleisten.
Bei der Berechnung der Geldbuße gemäß Art. 83 Abs. 4-6 DSGVO müsste ein wirtschaftlicher Unternehmensbegriff anstelle einer formalen Betrachtung angewendet werden. Da gemäß Art. 83 Abs. 1 DSGVO die in Abs. 4 bis 6 dieses Artikels vorgesehenen Geldbußen „wirksam, verhältnismäßig und abschreckend“ sein müssen, könnten dabei die allgemeinen Grundsätze des Kartellsanktionsrechts bei Verstößen gegen die DSGVO analog angewendet werden.
…aber es gibt keine verschuldensunabhängige Unternehmenshaftung
Zur zweiten Vorlagefrage folgt der Generalanwalt nicht der Argumentation der Datenschutzbehörden. Diese hatten gefordert, dass – insoweit anders als im Kartellrecht (Art. 23 VO 1/2003) – bei Verstößen gegen die DSGVO kein Verschulden vorausgesetzt sei. Dies folge u.a. aus dem Wortlaut der Absätze, die dies nicht ausdrücklich vorsehen.
Der Generalanwalt stellte jedoch fest: Geldbußen nach der DSGVO „setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.“ Zwar erkannte der Generalanwalt an, dass der Wortlaut auch anders interpretiert werden könne, was wiederum auf einen Anwendungsspielraum für die Mitgliedsstaaten hindeuten würde. Da es aber notwendig sei, vergleichbare Verstöße auch einheitlich in den Mitgliedsstaaten zu ahnden, bedürfe es einer einheitlichen Lösung.
Zwar sei auch in anderen Bereichen des Europäischen Rechts bereits eine verschuldensunabhängige – nur auf den objektiven Rechtsverstoß abstellende – Haftung anerkannt. Diese Grundsätze betrafen aber einfach festzustellende „formale Verstöße“ und könnten deshalb nicht auf den Datenschutz übertragen werden. Denn ob die Anforderungen der DSGVO eingehalten oder gegen sie verstoßen wurde, setze einen komplexen Bewertungs- und Beurteilungsprozess voraus.
Schließlich, so der Generalanwalt weiter, würden auch die anderen Absätze des Art. 83 Abs. 1-3 DSGVO mit Bezug zum Verhältnismäßigkeitsgrundsatz und Verschuldensaspekten seine Ansicht stützen.
Legt man die Einschätzung des Generalanwalts zugrunde, müssen auch künftig jedenfalls (fahrlässige) Aufsichtspflichtverletzungen im Bußgeldverfahren nachgewiesen werden, da es andernfalls am Verschuldensvorwurf gegen das Unternehmen fehlt.
Die Anforderungen an den Verschuldensnachweis durch die Datenschutzbehörden dürften sich jedoch in Grenzen halten. Dies legt zum einen die Einschätzung des Generalanwalts zur ersten Vorlagefrage nahe, in der die Effektivität der datenschutzrechtlichen Sanktionen betont wird und nach der gerade keine Identifizierung einzelner Mitarbeitenden erforderlich sein soll.
Dass ein so verstandenes Verschuldenserfordernis in der Praxis nahe an eine verschuldensunabhängige Haftung heranreichen könnte, zeigt sich auch an anderer Stelle. Nach Ansicht des Generalanwalts sei denkbar, dass „Fälle der bloßen Nichtbeachtung einer Rechtsvorschrift“ bereits als fahrlässig einzustufen sein, „wenn der Handelnde wissen musste, welches Handeln von ihm verlangt wird.“ So könne ein Verhalten schuldhaft sein, „das aus einer anderen Perspektive von einem Gericht als Fall der objektiven Verantwortlichkeit angesehen werden könnte.“
Und jetzt?
Die Schlussanträge des Generalanwalts binden den EuGH nicht in seiner Entscheidung. Die Praxis zeigt jedoch, dass der Gerichtshof den dort formulierten Empfehlungen in vielen Fällen folgt. Mit einer Entscheidung könnte noch in diesem Jahr gerechnet werden.
Schließt sich der EuGH den Schlussanträgen des Generalanwalts an, dürfte dies die Position der Datenschutzbehörden in Ermittlungsverfahren stärken und jedenfalls das Risiko für höhere Bußgelder wegen datenschutzrechtlicher Verstöße erhöhen.
Der „Umweg“ über Pflichtverletzungen von konkret zu bezeichneten Leitungspersonen für Verstöße aus dem Unternehmen heraus wäre nicht mehr nötig; die Bußgeldobergrenze könnten sich zu Ungunsten von (konzernangehörigen) Gesellschaften verschieben. Die Aussagen des Generalanwalts können zudem so interpretiert werden, dass der geforderte Verschuldensnachweis in der Praxis so niedrigschwellig sein könnte, dass er einer verschuldensunabhängigen Haftung jedenfalls angenähert ist.
Eine gute Nachricht für betroffene Unternehmen zum Schluss. Ungeachtet des Ausgangs der Entscheidung gilt nach wie vor: Mit einem funktionierenden Compliance-Programm zur Prävention und einer klugen Verteidigungsstrategie im Falle eines Verstoßes können Unternehmen auch künftig hohen Bußgeldern entgegenwirken.
