„EuGH entscheidet:
Unternehmensverschulden für DSGVO-Bußgeld ausreichend
Datenschutzverstöße in Unternehmen können mit einer Geldbuße geahndet werden. Dies auch dann, wenn kein Fehlverhalten eines einzelnen Mitarbeiters nachgewiesen werden kann. Vielmehr bleibt das Unternehmen auch dann zur Zahlung verpflichtet, wenn die juristische Person als solche – etwa aufgrund mangelnder Compliance – schuldhaft gehandelt hat.
Der Entscheidung des Europäischen Gerichtshofs (EuGH, Urt. v. 05.12.2023, u.a. Az. C-807/21 - Deutsche Wohnen) lag ein Bußgeldverfahren gegen das Immobilienunternehmen Deutsche Wohnen SE, die seit 2021 zur Vonovia SE gehört zugrunde. Der Berliner Datenschutzbeauftragte hatte im Jahr 2020 ein Bußgeld in Höhe von etwa 14,5 Millionen Euro gegen die Deutsche Wohnen verhängt. Hintergrund war, dass personenbezogene Daten von Mietern länger als erforderlich gespeichert wurden.“
Im Rahmen dieses Verfahrens wurden dem EuGH vom zuständigen Kammergericht in Berlin grundlegende Fragen zur Haftung von Unternehmen bei Datenschutzverstößen, bei den das Fehlverhalten keiner konkreten Person im Unternehmen zugeordnet werden kann, zur Entscheidung vorgelegt.
Dieser hat nun entschieden, dass es für die Haftung eines Unternehmens für Verstöße gegen europäisches Datenschutzrecht, anders als bei Ordnungswidrigkeiten nach deutschem Recht (OWiG), nicht erforderlich ist, dass ein Fehlverhalten eines konkreten einzelnen Mitarbeiters des betroffenen Unternehmens nachgewiesen werden kann. Vielmehr ist es – entsprechend den weiten kartellrechtlichen Haftungsvoraussetzungen – für eine entsprechende Sanktionierung eines Verstoßes mit einem Bußgeld ausreichend, wenn die verantwortliche juristische Person selbst, d. h. das Unternehmen, zumindest fahrlässig gehandelt hat.
Insoweit kommt es darauf an, ob die Mitarbeiter des Unternehmens in ihrer abstrakten Gesamtheit aufgrund der Organisation und der Compliance-Bemühungen des Unternehmens von den wesentlichen Tatsachen des Verstoßes Kenntnis haben müssten.
Es bleibt nun den nationalen Gerichten überlassen, den vom EuGH vorgegebenen weiten Haftungsrahmen im Einzelfall zu konkretisieren. Befall sollte dieses Urteil Unternehmen noch einmal Anlass geben, ihr Datenschutzmanagement sowie die Maßnahmen zur Schulung und Sensibilisierung der Mitarbeiter im Hinblick auf datenschutzrechtliche Vorgaben kritisch zu überprüfen. Dies nicht zuletzt aufgrund des Umstandes, dass die Höhe eines gegebenenfalls zu verhängenden Bußgelds sich an der wirtschaftlichen Leistungsfähigkeit eines Unternehmens orientiert und im Falle einer Unternehmensgruppe nicht etwa auf das einzelne Unternehmen, sondern auf den Umsatz der gesamten Gruppe abzustellen ist.
Bei Fragen zu allen datenschutzrechtlichen Themen steht Ihnen unsere Praxisgruppe Datenschutz gerne zur Verfügung.