Der EuGH hat im Urteil C‑807/21 i.S. Deutsche Wohnen entschieden, dass Unternehmen nach der DSGVO auch dann mit Bussen belegt werden können, wenn keine bestimmte natürliche Person als Urheber des Verstosses festgestellt wurde, und dass es auch nicht darauf ankomme, ob der Verstoss von einem Organ oder Vertreter begangen wurde. Eine pointierte Kritik zu diesem Urteil hat – auf Basis noch der Medienmitteilung des EuGH – Christian Franz verfasst.
Immerhin ist aber vorausgesetzt, dass der Verstoss schuldhaft begangen wurde:
73 Ein Sanktionssystem, das es ermöglicht, eine Geldbuße gemäß Art. 83 DSGVO zu verhängen, wenn die besonderen Umstände des Einzelfalls dies rechtfertigen, schafft für Verantwortliche und Auftragsverarbeiter einen Anreiz, der DSGVO nachzukommen. Geldbußen tragen durch ihre abschreckende Wirkung zu einem stärkeren Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bei. Sie sind daher ein Schlüsselelement, um die Wahrung der Rechte dieser Personen zu gewährleisten, und stehen im Einklang mit dem Ziel der DSGVO, ein hohes Schutzniveau für solche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.
74 Der Unionsgesetzgeber hat es jedoch nicht für erforderlich gehalten, zur Gewährleistung eines solchen hohen Schutzniveaus vorzusehen, dass Geldbußen verschuldensunabhängig verhängt werden. In Anbetracht dessen, dass die DSGVO auf ein gleichwertiges und einheitliches Schutzniveau abzielt und hierfür in der gesamten Union gleichmäßig angewandt werden muss, liefe es diesem Ziel zuwider, den Mitgliedstaaten zu gestatten, eine solche Regelung für die Verhängung einer Geldbuße nach Art. 83 DSGVO vorzusehen. Eine solche Wahlfreiheit wäre zudem geeignet, den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen, was den vom Unionsgesetzgeber u. a. in den Erwägungsgründen 9 und 13 der DSGVO dargestellten Zielen zuwiderliefe.
75 Demnach ist festzustellen, dass Art. 83 DSGVO es nicht gestattet, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 genannten Verstoßes zu verhängen, ohne dass nachgewiesen ist, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist Voraussetzung für die Verhängung einer solchen Geldbuße, dass der Verstoß schuldhaft begangen wurde.
An den Nachweis des Verschuldens werden allerdings keine hohen Anforderungen gestellt:
76 Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt […].
Was die Zurechnung des Verschuldens betrifft, hatte die Deutsche Wohnen geltend gemacht (ebenso wie das vorlegende Gericht), nach deutschen Ordnungswidrigkeitenrecht könne eine Busse nur verhängt werden, wenn der Verstoss einem Organmitglied oder Vertreter des Unternehmens zuzurechnen ist.
Der EuGH weist dies in einer extrem knappen Begründung zurück:
42 Somit ergibt sich aus dem Wortlaut und dem Zweck von Art. 4 Nr. 7 DSGVO, dass der Unionsgesetzgeber bei der Bestimmung der Haftung nach der DSGVO nicht zwischen natürlichen und juristischen Personen unterschieden hat, da die einzige Voraussetzung für diese Haftung darin besteht, dass diese Personen allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
43 Vorbehaltlich der Bestimmungen von Art. 83 Abs. 7 DSGVO betreffend Behörden und öffentliche Stellen haftet daher jede Person, die diese Voraussetzung erfüllt – unabhängig davon, ob es sich um eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle handelt – u. a. für jeden in Art. 83 Abs. 4 bis 6 der DSGVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde.
44 In Bezug auf juristische Personen bedeutet dies zum einen […] dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. […]
Der Generalanwalt hatte dies in seinen Anträgen in den Vordergrund gestellt, verbunden mit der Behauptung,
58. In Wirklichkeit bilden und definieren jene natürlichen Personen den Willen der juristischen Person, indem sie ihm durch individuelle und konkrete Handlungen Ausdruck verleihen. Diese individuellen Handlungen als konkreter Ausdruck jenes Willens sind letztlich der juristischen Person selbst zuzurechnen.
59. Es handelt sich schließlich um natürliche Personen, die zwar nicht selbst Vertreter einer juristischen Person sind, aber unter der Aufsicht derjenigen handeln, die Vertreter der juristischen Person sind und die eine unzureichende Überwachung oder Kontrolle über die zuerst genannten Personen ausgeübt haben. Letzten Endes führt die Zurechenbarkeit zu der juristischen Person selbst, soweit der Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind.
Dass die entsprechende natürliche Person identifiziert wird, sei ebenfalls nicht erforderlich:
46 Somit ergibt sich aus der Zusammenschau von Art. 4 Nr. 7, Art. 83 und Art. 58 Abs. 2 Buchst. i DSGVO, dass eine Geldbuße wegen eines Verstoßes gemäß Art. 83 Abs. 4 bis 6 DSGVO auch gegen juristische Personen verhängt werden kann, sofern sie die Eigenschaft eines Verantwortlichen haben. Dagegen gibt es in der DSGVO keine Bestimmung, die die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängig macht, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde.
Damit führt der EuGH im Grunde eine Kausalhaftung von Unternehmen das Verhalten aller Beschäftigten ein, und wohl nicht nur für diese, sondern überhaupt für alle Personen, die “in ihrem Namen” handeln, solange nur von einem Verschulden auszugehen ist. Dabei hat der EuGH nicht verlangt, dass ein Sorgfaltsmangel bei der Organisation des Betriebs und der innerbetrieblichen Kontrolle nachgewiesen wird; es wird vielmehr stillschweigend unterstellt, dass ein Verstoss im Unternehmen gar nicht anders zustande kommen könne als eben über einen Organisationsmangel, der damit fingiert wird.
Nach dieser Logik müsste der Verantwortliche sodann auch für jeden Auftragsbearbeiter haften; auch dieser und dessen Mitarbeiter handeln im Namen des Verantwortlichen, solange der Auftragsbearbeiter nicht im Aufgabenexzess zum eigenen Verantwortlichen wird, und auch hier kann man behaupten, ein Verstoss sei das Ergebnis eines mangelnden Kontroll- und Überwachungssystems. Man kann sich fragen, ob dem die eigene Bussenhaftung des Auftragsbearbeiters entgegensteht, aber wohl nicht: Der Auftragsbearbeiter haftet nur für Verstösse gegen Bestimmungen, die gerade ihn treffen, der Verantwortliche aber auch für alle anderen. Würde der Verantwortliche hier nicht für das Verhalten des Auftragsbearbeiter und aller seiner Mitarbeitenden haften, könnte der EuGH problemlos auch hier eine Rechtsschutzlücke sehen.
Ein Ausweg aus dieser allzu strengen Bussenhaftung könnte man immerhin darin sehen, dass der EuGH verlangt, dass die fehlbaren – wenn auch nicht zu identifizierenden – natürlichen Personen im Namen des Unternehmens handeln müssen. Das dürfte dann nicht mehr der Fall sein, wenn diese den Datenschutz bewusst verletzen, obwohl sie es hätten besser wissen können; in diesem Fall handelt der betreffende Mitarbeiter in eigener Initiative und nicht mehr in Namen des Unternehmens, weshalb eigentlich dieser Mitarbeitende der Verantwortliche ist. Der EuGH lässt aber anklingen, dass er dem Fehlschluss unterliegt, ein Verstoss im Unternehmen beweise per se einen Mangel in der Organisation, was natürlich falsch ist.
Von den genannten Regeln können die Mitgliedstaaten selbstverständlich auch nicht abweichen:
48 Die Tatsache, dass die DSGVO den Mitgliedstaaten somit die Möglichkeit einräumt, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, bedeutet jedoch keineswegs, dass sie auch befugt wären, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzusehen, die zu den in Art. 83 Abs. 1 bis 6 DSGVO geregelten hinzutreten. Des Weiteren wird durch den Umstand, dass der Unionsgesetzgeber eigens und ausdrücklich diese Möglichkeit vorgesehen hat, aber nicht diejenige, solche zusätzlichen materiellen Voraussetzungen festzulegen, bestätigt, dass er den Mitgliedstaaten insoweit keinen Ermessensspielraum gelassen hat. Für diese materiellen Voraussetzungen gilt daher ausschließlich das Unionsrecht.
Schliesslich bestätigt der EuGH, dass für den Unternehmensumsatz zur Bestimmung der Höhe der Sanktion vom kartellrechtlichen Unternehmensbegriff auszugehen ist:
59 Daher ist eine Aufsichtsbehörde, wenn sie aufgrund ihrer Befugnisse nach Art. 58 Abs. 2 DSGVO beschließt, gegen einen Verantwortlichen, der ein Unternehmen im Sinne der Art. 101 und 102 AEUV ist oder einem solchen angehört, eine Geldbuße gemäß Art. 83 DSGVO zu verhängen, nach Art. 83 im Licht des 150. Erwägungsgrundes der DSGVO verpflichtet, bei der Berechnung der Geldbußen für die in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV zugrunde zu legen.