ZUSATZ INFORMATIONEN
Beim Kammergericht Berlin läuft ein Verfahren zu einem 14,5 Mio. Euro hohen Bußgeld gegen den Immobilienriesen Deutsche Wohnen – nun hat der EuGH im Vorabentscheidungsverfahren zur Haftung von Unternehmen entschieden.
Ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) kann eine Geldbuße gegen ein Unternehmen nach sich ziehen. Dies gilt auch dann, wenn die unerlaubte Handlung nicht einer identifizierten natürlichen Person als Vertreter des Unternehmens zugeordnet werden kann. Voraussetzung für eine Geldbuße ist aber stets, dass das Unternehmen schuldhaft gehandelt hat, entschied nun der Europäische Gerichtshof (EuGH) mit Urteil vom 5. Dezember 2023, Az. C-683/21 (Nacionalinis visuomenės sveikatos centras) und Az. C-807/21 (Deutsche Wohnen)).
Vorausgegangen waren Vorlagen (Art. 267 AEUV) eines litauischen Gerichts sowie des Kammergerichts Berlin. Dabei ging es zum einen um die Frage, ob eine Bußgeldhaftung eines Unternehmens voraussetzt, dass ein schuldhaftes Fehlverhalten einer konkret identifizierten Person nachgewiesen werden kann, welches dann der juristischen Person zugerechnet wird (Zurechnungsprinzip). So sieht es nämlich § 30 des deutschen Ordnungswidrigkeitengesetzes (OWiG) vor, um dessen Anwendung vor dem Kammergericht Berlin gestritten wird.
Hier war das Immobilienunternehmen „Deutsche Wohnen SE“ betroffen. Gegen das Unternehmen, das seit 2021 zur Vonovia SE gehört, hatte der Berliner Datenschutzbeauftragte 2020 einen Bußgeldbescheid in Höhe von etwa 14,5 Mio. Euro erlassen. Hintergrund war, dass personenbezogene Daten von Mietern länger als erforderlich gespeichert wurden. Das ist bewusst im Passiv formuliert, denn im Ausgangsverfahren hatte der Datenschutzbeauftragte bislang nicht nachweisen können, dass eine bestimmte Leitungs-, Aufsichts- oder sonst vertretungsberechtigte Person i.S.d. § 30 OWiG den DSGVO-Verstoß zu verantworten hat. Aus diesem Grund hatte das Berliner Landgericht den Bußgeldbescheid in der Vorinstanz kassiert.
EuGH fordert ein Organisationsverschulden
Da Art. 83 DSGVO eine solche Zurechnungskette vom Delikt zu einer natürlichen Person und von dieser zur juristischen Person nicht vorschreibt, legte das Kammergericht Berlin den Fall dem EuGH im Rahmen eines Vorabentscheidungsverfahrens vor. Dieser stellte auf die erste Vorlagefrage hin fest, dass das erste Glied der Kette unionsrechtlich nicht erforderlich ist. Eine juristische Person hafte auch dann auf Zahlung eines Bußgeldes, wenn unklar bleibt, wer genau den Verstoß begangen hat.
Voraussetzung sei aber ein vorsätzliches oder fahrlässiges Verhalten des datenschutzrechtlich Verantwortlichen, im Fall eines Unternehmens also der juristischen Person, hier: der Deutsche Wohnen SE. Damit bejahte der EuGH die zweite Vorlagefrage des Kammergerichts Berlin.
Unklar bleibt damit aber, wann ein Unternehmen schuldhaft handelt, wenn das Fehlverhalten nicht einer identifizierten natürlich Person als Unternehmensvertreter zugerechnet werden kann. Das muss nun das Kammergericht Berlin im Ausgangsverfahren klären (Az. 3 Ws 250/21). Dabei wird es sich auch mit § 130 OWiG auseinandersetzen müssen, wonach eine Unternehmenshaftung auch bei mangelhafter Compliance in Betracht kommt – also dann, wenn der „Inhaber des Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern“.
(Quelle: Europäischer Gerichtshof, Pressemitteilung Nr. 184 vom 5. Dezember 2023 und LTO Daily ebenfalls vom 5. Dezember 2023)