Europäischer Gerichtshof zur DSGVO: Strengere Haftung, höhere Bußgelder

Inhaltsverzeichnis

Anfang Dezember hat der Europäische Gerichtshof (EuGH) zwei wichtige Urteile zur Unternehmenshaftung gefällt. In den Verfahren C-683/21 und C-807/21 ("Deutsche Wohnen") hat das Gericht präzisiert, wer für DSGVO-Verstöße haftet und was bei der Bemessung von Bußgeldern zu beachten ist.

Im ersten der beiden Verfahren hat der EuGH sein (weites) Verständnis der datenschutzrechtlichen Verantwortung bekräftigt. Er hat entschieden, dass eine Behörde, die ein Unternehmen mit der Entwicklung einer mobilen App beauftragt, gemeinsam mit diesem Unternehmen haftet – und zwar auch dann, wenn sie keine personenbezogenen Daten verarbeitet, keine Einwilligung erteilt und auch keine Vereinbarung mit dem Unternehmen getroffen hat.

Das bedeutet, dass es für die Feststellung einer gemeinsamen Verantwortlichkeit auch in Zukunft nicht darauf ankommt, ob beide Parteien dies in ihren Verträgen oder Datenschutzerklärungen ausdrücklich so festgelegt haben. Entscheidend ist allein, ob ein Unternehmen oder eine Behörde tatsächlich an der Entscheidung über wichtige Aspekte ("nicht unwesentliche Mittel") beteiligt ist.

Haftung auch für Mitarbeiter und Auftragsverarbeiter

Vor allem in Deutschland ist seit Langem umstritten, wie weit die Verantwortlichkeit genau reicht, konkret: Welches Verhalten sich ein verantwortliches Unternehmen zurechnen lassen muss?

Bereits im November 2020 hatte das Landgericht Bonn argumentiert, dass das deutsche Ordnungswidrigkeitenrecht, das die Unternehmenshaftung an den Verstoß einer Leitungsperson knüpft, mit dem Haftungskonzept der Datenschutz-Grundverordnung kaum vereinbar sei (Az. 29 OWi 1/20, Verfahren "1&1"). Der EuGH hat klargestellt, dass sich die Haftung des Verantwortlichen auf jede Verarbeitung personenbezogener Daten erstreckt, die durch ihn oder in seinem Namen erfolgt. Daher müsse es Aufsichtsbehörden möglich sein, Geldbußen unmittelbar gegen verantwortliche Unternehmen zu verhängen – auch ohne den Umweg über eine Leitungsperson.

Und mehr noch: Da der Verantwortliche nicht nur für eigene Verstöße hafte, sondern auch für Verstöße, die in seinem Namen begangen werden, solle gegen ihn auch dann ein Bußgeld verhängt werden können, wenn der Verstoß von einem Mitarbeiter unterhalb der Leitungsebene oder von einem Auftragsverarbeiter begangen wird.

Damit gilt für den Verantwortlichen eine denkbar weite Haftung. Er muss die Rechtmäßigkeit jedweder Verarbeitungstätigkeiten in der Breite sicherstellen – und zwar nach innen wie nach außen. Eine Ausnahme von diesem Grundsatz soll lediglich dann gelten, wenn die betreffende Person ihrerseits gegen Weisungen verstoßen hat – oder vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche der Verarbeitung zugestimmt hätte.

Keine "Strict liability"

Allerdings hat der EuGH die Haftung des Unternehmens auch teilweise eingeschränkt. Aus der Überlegung, dass Verantwortliche grundsätzlich haften, hat er nämlich nicht abgeleitet, dass Unternehmen für jeden Verstoß haften. Eine Geldbuße soll nämlich nur dann verhängt werden dürfen, wenn das Unternehmen vorsätzlich oder fahrlässig gegen die DSGVO verstoßen hat. Damit erteilt der EuGH der verschuldensunabhängigen Haftung eine Absage. Und wirft Folgefragen auf. Wie soll das Verschulden einer juristischen Person, die selbst kein Bewusstsein hat und stets durch ihre Organe und Mitarbeiter handelt, denn festgestellt werden, wenn nicht durch Anknüpfung an das Verhalten einer identifizierten Person?

Spannend wird damit auch die Konstellation, des mehr oder minder kalkulierten Verstoßes durch den Auftragsverarbeiter. Denn der Verantwortliche soll auch dann haften, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Wann aber muss vernünftigerweise davon ausgegangen werden, dass der Verantwortliche einer Verarbeitung nicht zugestimmt hätte? Und wann konnte sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein?

Kartellrechtlicher Unternehmensbegriff

In einem Hinweis zur Definition des Unternehmensbegriffs der DSGVO äußerte sich der EuGH außerdem zum Umfang der Haftung. In der Rechtssache C-807/21 („Deutsche Wohnen“) stellte das Luxemburger Gericht klar, dass bei der Bemessung von Geldbußen – und zwar nur bei der Bemessung – der kartellrechtliche Unternehmensbegriff gelten soll. Die Obergrenze soll also nicht nach dem Jahresumsatz des Unternehmens bestimmt werden, das den DSGVO-Verstoß konkret begangen hat, sondern nach dem Jahresumsatz der wirtschaftlichen Einheit, dem dieses Unternehmen angehört.

Damit sanktioniert der EuGH Erwägungsgrund 150 DSGVO, die Auffassung des Europäischen Datenschutzausschusses (EDSA) – und steigert das Bußgeldrisiko für Unternehmen. Nicht geäußert hat sich der EuGH allerdings zur umstrittenen – und vom EDSA bejahten – Frage, ob die wirtschaftliche Einheit für Verstöße ihrer Untergliederungen auch gesamtschuldnerisch haften soll.

Nur Gewinner?

Mit diesen Entscheidungen hat sich der EuGH klar für mehr Verantwortung, eine Haftung auch für Mitarbeiter und Auftragsverarbeiter sowie für höhere Bußgeldobergrenzen ausgesprochen. Das stärkt Verbraucherrechte und nimmt Unternehmen stärker in die Pflicht. Doch obwohl beide Entscheidungen relativ eindeutig sind und das Urteil im Verfahren "Deutsche Wohnen" ungewöhnlich breit rezipiert wird, hält sich die Kritik bislang zurück.

Das mag freilich auch daran liegen, dass es aktuell nur Gewinner zu geben scheint: Sowohl die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die das Bußgeld gegen die Deutsche Wohnen SE seinerzeit erlassen hatte, als auch die Prozessvertreter des Unternehmens werten die Entscheidung als Erfolg. Die Deutsche Wohnen hat sich zur Vorabentscheidung des EuGH bislang nicht geäußert.

Maximilian Wagner ist seit 2022 Rechtsanwalt der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und spezialisiert auf das Datenschutz- und IT-Recht sowie auf die Rechtsbereiche Digitales Business und Gewerblicher Rechtsschutz.

(mack)