datenrecht.ch

EuGH i.S. Deut­sche Woh­nen: Kau­sal­haf­tung von Unter­neh­men für das Ver­hal­ten in der Organisation

Der EuGH hat im Urteil C‑807/21 i.S. Deut­sche Woh­nen ent­schie­den, dass Unter­neh­men nach der DSGVO auch dann mit Bus­sen belegt wer­den kön­nen, wenn kei­ne bestimm­te natür­li­che Per­son als Urhe­ber des Ver­sto­sses fest­ge­stellt wur­de, und dass es auch nicht dar­auf ankom­me, ob der Ver­stoss von einem Organ oder Ver­tre­ter began­gen wur­de. Eine poin­tier­te Kri­tik zu die­sem Urteil hat – auf Basis noch der Medi­en­mit­tei­lung des EuGH – Chri­sti­an Franz ver­fasst.

Immer­hin ist aber vor­aus­ge­setzt, dass der Ver­stoss schuld­haft began­gen wurde:

73 Ein Sank­ti­ons­sy­stem, das es ermög­licht, eine Geld­bu­ße gemäß Art. 83 DSGVO zu ver­hän­gen, wenn die beson­de­ren Umstän­de des Ein­zel­falls dies recht­fer­ti­gen, schafft für Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter einen Anreiz, der DSGVO nach­zu­kom­men. Geld­bu­ßen tra­gen durch ihre abschrecken­de Wir­kung zu einem stär­ke­ren Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten bei. Sie sind daher ein Schlüs­sel­ele­ment, um die Wah­rung der Rech­te die­ser Per­so­nen zu gewähr­lei­sten, und ste­hen im Ein­klang mit dem Ziel der DSGVO, ein hohes Schutz­ni­veau für sol­che Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu gewährleisten.

74 Der Uni­ons­ge­setz­ge­ber hat es jedoch nicht für erfor­der­lich gehal­ten, zur Gewähr­lei­stung eines sol­chen hohen Schutz­ni­veaus vor­zu­se­hen, dass Geld­bu­ßen ver­schul­dens­un­ab­hän­gig ver­hängt wer­den. In Anbe­tracht des­sen, dass die DSGVO auf ein gleich­wer­ti­ges und ein­heit­li­ches Schutz­ni­veau abzielt und hier­für in der gesam­ten Uni­on gleich­mä­ßig ange­wandt wer­den muss, lie­fe es die­sem Ziel zuwi­der, den Mit­glied­staa­ten zu gestat­ten, eine sol­che Rege­lung für die Ver­hän­gung einer Geld­bu­ße nach Art. 83 DSGVO vor­zu­se­hen. Eine sol­che Wahl­frei­heit wäre zudem geeig­net, den Wett­be­werb zwi­schen den Wirt­schafts­teil­neh­mern in der Uni­on zu ver­fäl­schen, was den vom Uni­ons­ge­setz­ge­ber u. a. in den Erwä­gungs­grün­den 9 und 13 der DSGVO dar­ge­stell­ten Zie­len zuwiderliefe.

75 Dem­nach ist fest­zu­stel­len, dass Art. 83 DSGVO es nicht gestat­tet, eine Geld­bu­ße wegen eines in Art. 83 Abs. 4 bis 6 genann­ten Ver­sto­ßes zu ver­hän­gen, ohne dass nach­ge­wie­sen ist, dass die­ser Ver­stoß von dem Ver­ant­wort­li­chen vor­sätz­lich oder fahr­läs­sig began­gen wur­de. Folg­lich ist Vor­aus­set­zung für die Ver­hän­gung einer sol­chen Geld­bu­ße, dass der Ver­stoß schuld­haft began­gen wurde.

An den Nach­weis des Ver­schul­dens wer­den aller­dings kei­ne hohen Anfor­de­run­gen gestellt:

76 Inso­weit ist zu der Fra­ge, ob ein Ver­stoß vor­sätz­lich oder fahr­läs­sig began­gen wur­de und auf­grund des­sen mit einer Geld­bu­ße gemäß Art. 83 DSGVO geahn­det wer­den kann, noch klar­zu­stel­len, dass ein Ver­ant­wort­li­cher für ein Ver­hal­ten, das in den Anwen­dungs­be­reich der DSGVO fällt, sank­tio­niert wer­den kann, wenn er sich über die Rechts­wid­rig­keit sei­nes Ver­hal­tens nicht im Unkla­ren sein konn­te, gleich­viel, ob ihm dabei bewusst war, dass es gegen die Vor­schrif­ten der DSGVO verstößt […].

Was die Zurech­nung des Ver­schul­dens betrifft, hat­te die Deut­sche Woh­nen gel­tend gemacht (eben­so wie das vor­le­gen­de Gericht), nach deut­schen Ord­nungs­wid­rig­kei­ten­recht kön­ne eine Bus­se nur ver­hängt wer­den, wenn der Ver­stoss einem Organ­mit­glied oder Ver­tre­ter des Unter­neh­mens zuzu­rech­nen ist.

Der EuGH weist dies in einer extrem knap­pen Begrün­dung zurück:

42 Somit ergibt sich aus dem Wort­laut und dem Zweck von Art. 4 Nr. 7 DSGVO, dass der Uni­ons­ge­setz­ge­ber bei der Bestim­mung der Haf­tung nach der DSGVO nicht zwi­schen natür­li­chen und juri­sti­schen Per­so­nen unter­schie­den hat, da die ein­zi­ge Vor­aus­set­zung für die­se Haf­tung dar­in besteht, dass die­se Per­so­nen allein oder zusam­men mit ande­ren über die Zwecke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten entscheiden.

43 Vor­be­halt­lich der Bestim­mun­gen von Art. 83 Abs. 7 DSGVO betref­fend Behör­den und öffent­li­che Stel­len haf­tet daher jede Per­son, die die­se Vor­aus­set­zung erfüllt – unab­hän­gig davon, ob es sich um eine natür­li­che oder juri­sti­sche Per­son, eine Behör­de, Ein­rich­tung oder ande­re Stel­le han­delt – u. a. für jeden in Art. 83 Abs. 4 bis 6 der DSGVO genann­ten Ver­stoß, der von ihr selbst oder in ihrem Namen began­gen wurde.

44 In Bezug auf juri­sti­sche Per­so­nen bedeu­tet dies zum einen […] dass die­se nicht nur für Ver­stö­ße haf­ten, die von ihren Ver­tre­tern, Lei­tern oder Geschäfts­füh­rern began­gen wur­den, son­dern auch für Ver­stö­ße, die von jeder ande­ren Per­son began­gen wur­den, die im Rah­men der unter­neh­me­ri­schen Tätig­keit und im Namen die­ser juri­sti­schen Per­so­nen han­delt. […]

Der Gene­ral­an­walt hat­te dies in sei­nen Anträ­gen in den Vor­der­grund gestellt, ver­bun­den mit der Behauptung,

58. In Wirk­lich­keit bil­den und defi­nie­ren jene natür­li­chen Per­so­nen den Wil­len der juri­sti­schen Per­son, indem sie ihm durch indi­vi­du­el­le und kon­kre­te Hand­lun­gen Aus­druck ver­lei­hen. Die­se indi­vi­du­el­len Hand­lun­gen als kon­kre­ter Aus­druck jenes Wil­lens sind letzt­lich der juri­sti­schen Per­son selbst zuzurechnen.

59. Es han­delt sich schließ­lich um natür­li­che Per­so­nen, die zwar nicht selbst Ver­tre­ter einer juri­sti­schen Per­son sind, aber unter der Auf­sicht der­je­ni­gen han­deln, die Ver­tre­ter der juri­sti­schen Per­son sind und die eine unzu­rei­chen­de Über­wa­chung oder Kon­trol­le über die zuerst genann­ten Per­so­nen aus­ge­übt haben. Letz­ten Endes führt die Zure­chen­bar­keit zu der juri­sti­schen Per­son selbst, soweit der Ver­stoß des Mit­ar­bei­ters, der unter der Auf­sicht ihrer Lei­tungs­or­ga­ne han­delt, auf einen Man­gel des Kon­troll- und Über­wa­chungs­sy­stems zurück­geht, für den die Lei­tungs­or­ga­ne unmit­tel­bar ver­ant­wort­lich sind.

Dass die ent­spre­chen­de natür­li­che Per­son iden­ti­fi­ziert wird, sei eben­falls nicht erfor­der­lich:

46 Somit ergibt sich aus der Zusam­men­schau von Art. 4 Nr. 7, Art. 83 und Art. 58 Abs. 2 Buchst. i DSGVO, dass eine Geld­bu­ße wegen eines Ver­sto­ßes gemäß Art. 83 Abs. 4 bis 6 DSGVO auch gegen juri­sti­sche Per­so­nen ver­hängt wer­den kann, sofern sie die Eigen­schaft eines Ver­ant­wort­li­chen haben. Dage­gen gibt es in der DSGVO kei­ne Bestim­mung, die die Ver­hän­gung einer Geld­bu­ße gegen eine juri­sti­sche Per­son als Ver­ant­wort­li­che davon abhän­gig macht, dass zuvor fest­ge­stellt wird, dass die­ser Ver­stoß von einer iden­ti­fi­zier­ten natür­li­chen Per­son began­gen wurde.

Damit führt der EuGH im Grun­de eine Kau­sal­haf­tung von Unter­neh­men das Ver­hal­ten aller Beschäf­tig­ten ein, und wohl nicht nur für die­se, son­dern über­haupt für alle Per­so­nen, die “in ihrem Namen” han­deln, solan­ge nur von einem Ver­schul­den aus­zu­ge­hen ist. Dabei hat der EuGH nicht ver­langt, dass ein Sorg­falts­man­gel bei der Orga­ni­sa­ti­on des Betriebs und der inner­be­trieb­li­chen Kon­trol­le nach­ge­wie­sen wird; es wird viel­mehr still­schwei­gend unter­stellt, dass ein Ver­stoss im Unter­neh­men gar nicht anders zustan­de kom­men kön­ne als eben über einen Orga­ni­sa­ti­ons­man­gel, der damit fin­giert wird.

Nach die­ser Logik müss­te der Ver­ant­wort­li­che sodann auch für jeden Auf­trags­be­ar­bei­ter haf­ten; auch die­ser und des­sen Mit­ar­bei­ter han­deln im Namen des Ver­ant­wort­li­chen, solan­ge der Auf­trags­be­ar­bei­ter nicht im Auf­ga­ben­ex­zess zum eige­nen Ver­ant­wort­li­chen wird, und auch hier kann man behaup­ten, ein Ver­stoss sei das Ergeb­nis eines man­geln­den Kon­troll- und Über­wa­chungs­sy­stems. Man kann sich fra­gen, ob dem die eige­ne Bus­sen­haf­tung des Auf­trags­be­ar­bei­ters ent­ge­gen­steht, aber wohl nicht: Der Auf­trags­be­ar­bei­ter haf­tet nur für Ver­stö­sse gegen Bestim­mun­gen, die gera­de ihn tref­fen, der Ver­ant­wort­li­che aber auch für alle ande­ren. Wür­de der Ver­ant­wort­li­che hier nicht für das Ver­hal­ten des Auf­trags­be­ar­bei­ter und aller sei­ner Mit­ar­bei­ten­den haf­ten, könn­te der EuGH pro­blem­los auch hier eine Rechts­schutz­lücke sehen.

Ein Aus­weg aus die­ser all­zu stren­gen Bus­sen­haf­tung könn­te man immer­hin dar­in sehen, dass der EuGH ver­langt, dass die fehl­ba­ren – wenn auch nicht zu iden­ti­fi­zie­ren­den – natür­li­chen Per­so­nen im Namen des Unter­neh­mens han­deln müs­sen. Das dürf­te dann nicht mehr der Fall sein, wenn die­se den Daten­schutz bewusst ver­let­zen, obwohl sie es hät­ten bes­ser wis­sen kön­nen; in die­sem Fall han­delt der betref­fen­de Mit­ar­bei­ter in eige­ner Initia­ti­ve und nicht mehr in Namen des Unter­neh­mens, wes­halb eigent­lich die­ser Mit­ar­bei­ten­de der Ver­ant­wort­li­che ist. Der EuGH lässt aber anklin­gen, dass er dem Fehl­schluss unter­liegt, ein Ver­stoss im Unter­neh­men bewei­se per se einen Man­gel in der Orga­ni­sa­ti­on, was natür­lich falsch ist.

Von den genann­ten Regeln kön­nen die Mit­glied­staa­ten selbst­ver­ständ­lich auch nicht abwei­chen:

48 Die Tat­sa­che, dass die DSGVO den Mit­glied­staa­ten somit die Mög­lich­keit ein­räumt, Anfor­de­run­gen an das von den Auf­sichts­be­hör­den anzu­wen­den­de Ver­fah­ren bei der Ver­hän­gung einer Geld­bu­ße vor­zu­se­hen, bedeu­tet jedoch kei­nes­wegs, dass sie auch befugt wären, über die­se ver­fah­rens­recht­li­chen Anfor­de­run­gen hin­aus mate­ri­el­le Vor­aus­set­zun­gen vor­zu­se­hen, die zu den in Art. 83 Abs. 1 bis 6 DSGVO gere­gel­ten hin­zu­tre­ten. Des Wei­te­ren wird durch den Umstand, dass der Uni­ons­ge­setz­ge­ber eigens und aus­drück­lich die­se Mög­lich­keit vor­ge­se­hen hat, aber nicht die­je­ni­ge, sol­che zusätz­li­chen mate­ri­el­len Vor­aus­set­zun­gen fest­zu­le­gen, bestä­tigt, dass er den Mit­glied­staa­ten inso­weit kei­nen Ermes­sens­spiel­raum gelas­sen hat. Für die­se mate­ri­el­len Vor­aus­set­zun­gen gilt daher aus­schließ­lich das Unionsrecht.

Schliess­lich bestä­tigt der EuGH, dass für den Unter­neh­mens­um­satz zur Bestim­mung der Höhe der Sank­ti­on vom kar­tell­recht­li­chen Unter­neh­mens­be­griff aus­zu­ge­hen ist:

59 Daher ist eine Auf­sichts­be­hör­de, wenn sie auf­grund ihrer Befug­nis­se nach Art. 58 Abs. 2 DSGVO beschließt, gegen einen Ver­ant­wort­li­chen, der ein Unter­neh­men im Sin­ne der Art. 101 und 102 AEUV ist oder einem sol­chen ange­hört, eine Geld­bu­ße gemäß Art. 83 DSGVO zu ver­hän­gen, nach Art. 83 im Licht des 150. Erwä­gungs­grun­des der DSGVO ver­pflich­tet, bei der Berech­nung der Geld­bu­ßen für die in Art. 83 Abs. 4 bis 6 DSGVO genann­ten Ver­stö­ße den Begriff „Unter­neh­men“ im Sin­ne der Art. 101 und 102 AEUV zugrun­de zu legen.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter