Lange erwartet und nunmehr geurteilt. Der Europäische Gerichtshof (EuGH) hat in der Rechtssache „Deutsche Wohnen“ (Az. C-807/21) die Voraussetzungen konkretisiert, unter welchen eine nationale Aufsichtsbehörde ein Bußgeld aufgrund eines Verstoßes gegen datenschutzrechtliche Bestimmungen gegenüber einer juristischen Person verhängen darf. Hintergrund der Entscheidung war ein im Jahr 2019 von der Berliner Datenschutzaufsichtsbehörde gegen die Immobiliengesellschaft Deutsche Wohnen verhängtes Bußgeld in Höhe von ca. 14 Mio. Euro. Behauptet wurden insoweit verschiedene Verstöße gegen die DS-GVO im Zusammenhang mit Mieterdaten. Dreh- und Angelpunkt der Entscheidung war sodann die Frage, ob ein entsprechendes Bußgeld – wie dies im deutschen Ordnungswidrigkeitengesetz (OWiG) in § 30 festgehalten ist – das Verschulden einer Leitungsperson voraussetzen.
Was sind die Kernaussagen des EuGH?
- Im Falle des Verstoßes gegen die DS-GVO kann ein Bußgeld unmittelbar gegenüber der verantwortlichen Stelle (auch im Falle einer juristischen Person) verhängt werden.
- Nur schuldhafte (also vorsätzliche oder fahrlässige) Verstöße gegen die DS-GVO können mit einem Bußgeld sanktioniert werden.
- Für die Klärung der Verschuldensfrage kommt es weder auf das Handeln noch auf die Kenntnis einer Leitungsperson an. Dies bedeutet, dass das Fehlverhalten etwa aller Beschäftigten von Relevanz sein kann.
Was bedeutet dies für die Praxis?
Aus wirtschaftlicher Sicht erfreulich ist zunächst die Tatsache, dass die DS-GVO keine verschuldensunabhängige Verhängung eines Bußgeldes vorsieht. Es muss stets im jeweiligen Einzelfall nachgewiesen werden, dass ein schuldhafter Verstoß gegen die DS-GVO begangen wurde.
Dies darf jedoch nicht zu der Fehlannahme führen, in Zukunft sei mit insgesamt weniger Bußgeldverfahren wegen Verstößen gegen die DS-GVO zu rechnen. Da letztlich sämtliche natürlichen Personen im Unternehmen schuldhaft (also vorsätzlich oder auch nur fahrlässig) gegen datenschutzrechtliche Bestimmungen verstoßen können, bleibt eine solide Datenschutz-Compliance stets das effektivste Mittel gegenüber lästigen Auseinandersetzung mit den Aufsichtsbehörden. Auch ist es aus rechtlicher Sicht nicht abschließend geklärt, welche Anforderungen an einen entsprechenden Verschuldensnachweis zu stellen sind und wie Verstöße bei einem Auftragsverarbeiter behandelt werden müssen.
Die Entscheidung des EuGH sollte daher jedenfalls als Anlass genommen werden, die internen Regelungen zum Datenschutz nochmal auf den Prüfstand zu stellen. Liegt bspw. ein (aktuell gehaltenes) Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO vor, mittels welchen die Grundsätze aus Art. 5 Abs. 1 DS-VO geprüft und entsprechend nachgewiesen werden können? Werden Beschäftigte im Unternehmen regelmäßig zum Datenschutz geschult?
Man kann sicherlich viel und lange zu den dogmatischen Fragen um das Sanktionsregime der DS-GVO diskutieren. Hierbei sollte jedoch der vielleicht wichtigste Schritt nicht vergessen werden: Die Sicherstellung einer soliden Datenschutz-Compliance. Häufig sind es die einfachen Maßnahmen im Unternehmen, die viel Ärger vermeiden können.
Gerne unterstützen wir Sie bei allen datenschutzrechtlichen Fragen im Unternehmen.