Verhängung von Bußgeldern gegen Unternehmen: EuGH stellt Schuldfähigkeit juristischer Personen klar

Im deutschen Recht waren Bußgeldverfahren unmittelbar gegen Unternehmen bislang nur eingeschränkt möglich. Ein Bußgeld konnte nach deutschem Recht nur dann gegenüber einem Unternehmen verhängt werden, wenn dem Unternehmen ein Handeln eines Organs oder Vertreters gemäß § 30 OWiG zugerechnet werden konnte. Ein Urteil des Europäischen Gerichtshofes (EuGH) stellt nun klar, dass dies dem in Art. 83 DSGVO geregelten Regime der unmittelbaren Unternehmenshaftung widerspricht.

Deutsches Recht verlangt zurechenbare Handlung

Die Berliner Beauftragte für den Datenschutz setze im Oktober 2019 Geldbußen gegen die Deutsche Wohnen SE fest. Das Unternehmen hatte es datenschutzwidrig unterlassen, Maßnahmen gegen die nicht oder nicht mehr erforderliche Speicherung personenbezogener Daten zu treffen und somit gegen Art. 25, 5 und 6 DSGVO verstoßen. Das Verfahren wurde im Februar 2021 eingestellt, da das Landgericht Berlin die Auffassung vertrat, eine juristische Person (beispielsweise ein Unternehmen) könne nicht Betroffene eines Bußgeldverfahrens sein. Gemäß § 30 OWiG könnten diese zwar bebußt werden, allerdings nur dann, wenn ihnen ein konkretes Handeln einer natürlichen identifizierbaren Person zugeordnet werden könne. Dies war im vorliegenden Verfahren jedoch nicht der Fall.

Uneinigkeit über Bedingungen von Bebußung

Gegen die Einstellung legte die Staatsanwaltschaft Beschwerde ein. Daraufhin wurde das Verfahren vom Senat des Kammergerichts Berlin ausgesetzt, um offene Fragen zu den Bedingungen für die Verhängung von Geldbußen und zur Auslegung des Art. 83 IV-VI DSGVO dem EuGH vorzulegen. Zu klären war, ob Bußgeldverfahren unmittelbar gegen juristische Personen geführt werden können und ob irgendein Pflichtverstoß, welcher der juristischen Person zugeordnet werden kann, für eine Verantwortlichkeit ausreicht.

Entscheidung des EuGHs

Der EuGH entschied schließlich im Dezember 2023 per Urteil, dass die deutsche Regelung, nach welcher eine Geldbuße gegen juristische Personen der Zurechnung einer durch eine natürliche Person begangenen konkreten Handlung bedürfen, im Widerspruch zu Art. 83 I-VI DSGVO steht. In Art. 83 DSGVO vorgesehene Geldbußen können vielmehr unmittelbar gegen juristische Personen verhängt werden, wenn diese als für die Datenverarbeitung Verantwortliche einzustufen sind. Unternehmen sind somit im Deliktsbereich der DSGVO schuldfähig, weshalb für eine Bebußung auch kein konkreter Pflichtverstoß einer natürlichen Person zugeordnet werden muss. Voraussetzung für die Verhängung einer Geldbuße ist laut EuGH jedoch, dass der Verstoß schuldhaft begangen wurde:

„Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt.“

Der 3. Senat des Kammergerichts Berlin hat daraufhin den Beschluss des Landgerichts Berlin aus Februar 2021 aufgehoben und zur erneuten Verhandlung und Entscheidung an das Landgericht zurückverwiesen.

Praxistipp

Soweit nicht bereits geschehen, sollten Sie daher die Organisation des Datenschutzes in Ihrem Unternehmen noch einmal überprüfen. Dazu gehören insbesondere: werden Mitarbeiter regelmäßig geschult, gibt es konkrete und detaillierte Regelungen zum Datenschutz, sind alle Verarbeitungen ordnungsgemäß im Verarbeitungsverzeichnis erfasst, wurden mit allen Auftragsverarbeitern entsprechende Vereinbarungen nach Art. 28 DSGVO geschlossen, werden betroffene Personen über jede Verarbeitung ihrer Daten ordnungsgemäß informiert, sind die Prozesse zur Wahrung der betroffenen Rechte eingerichtet und allen Mitarbeitern bekannt.

Ihre Ansprechpartner in unserem Büro Dresden für diesen Bereich sind:

Rechtsanwältin und Fachanwältin für IT-Recht sowie für Urheber- und Medienrecht Heike Nikolov

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe