EuGH: Millionen-Bußgeld gegen Deutsche Wohnen wegen DSGVO-Verstoß

Am 5. Dezember 2023 hat die Große Kammer des Europäischen Gerichtshofs in ihrer Entscheidung in der Rechtssache C-807/21 die Auffassung der Berliner Datenschutzaufsichtsbehörde bestätigt. Im konkreten Fall geht es um das Immobilienunternehmen Deutsche Wohnen, das mittelbar Eigentümer von rund 163.000 Wohnungen und 3.000 Gewerbeeinheiten ist. Die Berliner Aufsichtsbehörde hatte gegen die Deutsche Wohnen ein Bußgeld in Höhe von über 14 Millionen Euro verhängt, weil das Unternehmen personenbezogene Daten von Mietern länger als erforderlich gespeichert hatte. Das Gericht entschied, dass ein Bußgeld wegen eines Verstoßes gegen die DSGVO (nur) dann gegen den Verantwortlichen verhängt werden kann, wenn der Verstoß schuldhaft – also vorsätzlich oder versehentlich – begangen wurde. Dies ist der Fall, wenn der Verantwortliche nicht im Unklaren darüber sein konnte, dass sein Verhalten rechtswidrig ist, unabhängig davon, ob er wusste, dass er gegen die Bestimmungen der DSGVO verstößt.

Nach Auffassung des EuGH ist § 30 OWiG jedoch nicht auf Geldbußen nach Art. 83 DSGVO gegenüber juristischen Personen anwendbar. Dies bedeutet, dass für die Verhängung eines Bußgeldes gegen ein Unternehmen nicht erst festgestellt werden muss, welche konkrete natürliche Person im Unternehmen den Verstoß schuldhaft verursacht hat. Es reicht aus, dass die Zuwiderhandlung dem Unternehmen zugerechnet und ein Verschulden vermutet werden kann.

Nach Art. 83 Abs. 4 bis 6 DSGVO kann die Erfüllung der Pflichten eines Verantwortlichen einer juristischen Person zugerechnet werden, ohne dass es erforderlich ist, den Verstoß zunächst einer bestimmten natürlichen Person zuzurechnen. Das von der Berliner Aufsichtsbehörde gegen die Deutsche Wohnen SE verhängte Bußgeld belief sich auf 14,5 Millionen Euro. Im ersten Fall hob die Große Strafkammer des Landgerichts Berlin das Bußgeld vollständig auf. Es stellte fest, dass gegen eine juristische Person kein Bußgeld nach Art. 83 DSGVO verhängt werden könne, es sei denn, das „Verhalten“ eines Mitglieds eines Organs der juristischen Person oder eines Vertreters der juristischen Person sei untersucht und geprüft worden. Im zweiten Fall hat das KG Berlin das Verfahren eingestellt und dem Europäischen Gerichtshof eine Rechtsfrage zur Vorabentscheidung vorgelegt. Der Europäische Gerichtshof hat nun entschieden, dass Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 DSGVO einer nationalen Regelung des Ordnungswidrigkeitenrechts entgegenstehen, nach der für die Verhängung einer Geldbuße gegen eine juristische Person zusätzlich die vorherige Identifizierung einer natürlichen Person erforderlich ist. Die Vorgaben der DSGVO gehen jedoch dem deutschen Ordnungswidrigkeitenrecht vor. Damit hat sich die Hoffnung zerschlagen, dass DSGVO-Bußgelder gegen Unternehmen nur dann verhängt werden können, wenn ein schuldhaftes Fehlverhalten eines Geschäftsführers nachgewiesen werden kann. Vor allem die Schulung und Sensibilisierung der Mitarbeiter hat damit stark an Bedeutung gewonnen, da ein schuldhaftes Handeln auf dieser Ebene laut EuGH ausreicht, um eine Haftung des Unternehmens zu begründen. Haben Sie Fragen zum Datenschutz im Unternehmen und zum Haftungsmanagement im Datenschutz? Wir helfen Ihnen gerne weiter.