Europäischer Gerichtshof verhandelt Grundsatzfrage zur Sanktionierung von Datenschutzverstößen von Unternehmen

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 18.01.2023

Vor dem Europäischen Gerichtshof fand am Dienstag, den 17. Januar 2023, die mündliche Verhandlung in dem Verfahren „Deutsche Wohnen“ (C-807/21) statt. Hintergrund ist ein Bußgeld der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) in Höhe von 14,5 Millionen Euro gegen das Unternehmen wegen der ausufernden Speicherung von Mieterdaten. Vor dem EuGH geht es nun um die Grundsatzfrage, ob eine ein Unternehmen betreibende juristische Person in Deutschland nach den Grundsätzen des EU-Rechts unmittelbar für Datenschutzverstöße nach der Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Solche Vorgaben sind der DSGVO fremd.

Entsprechend interessierte sich der EuGH in der gestrigen mündlichen Verhandlung insbesondere dafür, inwieweit nationale Regelungen in Deutschland Hindernisse bei der europäischen Harmonisierung darstellen. Aufgrund der wesentlichen Bedeutung des Falls hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im Vorfeld der Verhandlung mit einer rechtlichen Einschätzung ( https://uldsh.de/230118-dsk ) positioniert.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: „Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet.“

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen.“

Zum Hintergrund:
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte gegen die das Unternehmen führende juristische Person im Jahr 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro wegen einer ausufernden Speicherung von Mieterdaten verhängt. Das Landgericht Berlin stellte das Verfahren ein. Die Entscheidung des Landgerichts beruht auf der Rechtsauffassung, dass Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung gegen juristische Personen nur verhängt werden könnten, wenn der Verstoß von einer Leitungsperson begangen worden ist, entweder durch eigenes Handeln oder durch Verletzung von Aufsichtspflichten. Dies entspricht dem deutschen Ordnungswidrigkeitenrecht, nicht jedoch den Grundsätzen der Sanktionierung von Ordnungswidrigkeiten im EU-Recht.

Aufgrund einer Beschwerde durch die Staatsanwaltschaft im Einvernehmen mit der Berliner Datenschutzbeauftragten ist das Verfahren nun beim Berliner Kammergericht anhängig, das die wesentlichen Rechtsfragen dem EuGH zur Vorabentscheidung vorgelegt hat.

Das Landgericht Bonn erkannte als deutsches Gericht in einem anderen Verfahren, dass der Unionsgesetzgeber durch die europäische Vorschrift zur Ahndung von Datenschutzverstößen im Interesse der Durchsetzung eines einheitlichen unionsweiten Datenschutzstandards die Sanktionierung unmittelbar von juristischen Personen voraussetzt. Abweichend vom europäischen Kontext geht das deutsche Ordnungswidrigkeitenrecht davon aus, dass Verstöße gegen nationale Bußgeldtatbestände nur von natürlichen Personen begangen werden können (sog. Rechtsträgerprinzip). Im europäischen Kartellrecht bedarf es hingegen für eine direkte Sanktionierung des Unternehmens nur der Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen (Funktionsträgerprinzip).

Kontakt:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
E-Mail: mail@datenschutzzentrum.de

Weitere Informationen zur Datenschutzkonferenz:
www.datenschutzkonferenz-online.de