Das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Dezember 2023 in der Angelegenheit „Deutsche Wohnen“ (Rs. C-807/21) markiert tatsächlich einen Meilenstein in der Datenschutzgesetzgebung und hat erhebliche Auswirkungen auf die Praxis der Datenschutzdurchsetzung und die Compliance-Maßnahmen von Unternehmen.
Hintergrund des Urteils
Bis zu diesem Urteil sah das deutsche Recht keine unmittelbare Haftung von Unternehmen vor. Die Verhängung eines Bußgeldes gegen juristische Personen setzte voraus, dass eine natürliche Person eine rechtswidrige Handlung begangen hatte, die dem Unternehmen zugerechnet werden konnte. Das EuGH-Urteil ändert diese Praxis grundlegend.
Wesentliche Entscheidungen des EuGH
- Direkte Haftung von Unternehmen: Der EuGH entschied, dass Unternehmen direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haftbar gemacht werden können, wenn sie als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO agieren.
- Schuldhaftes Verhalten: Geldbußen können nur verhängt werden, wenn der Verantwortliche den Verstoß vorsätzlich oder fahrlässig begangen hat.
- Verschuldensmaßstab: Der EuGH übertrug den unionskartellrechtlichen Verschuldensmaßstab auf DSGVO-Verstöße. Ein Verschulden liegt vor, wenn der Verantwortliche sich der Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte.
- Unternehmensbegriff und Bußgeldobergrenze: Der EuGH betonte, dass die Umsätze der gesamten wirtschaftlichen Einheit für die Bestimmung der Bußgeldobergrenze herangezogen werden können.
Auswirkungen und Diskussion
Die EuGH-Entscheidung schafft Klarheit bezüglich der unmittelbaren Haftung von Unternehmen und des Verschuldensmaßstabs für Datenschutzverstöße. Unternehmen können nun direkt für Verstöße belangt werden, was zu einer verstärkten Durchsetzung der Datenschutzregelungen führen könnte.
Die Klarstellungen des EuGH zum Unternehmensbegriff könnten zu höheren Bußgeldern führen, da die Obergrenze auf Grundlage des Gesamtumsatzes einer wirtschaftlichen Einheit berechnet wird. Dies erweitert den Spielraum der Datenschutzbehörden bei der Festsetzung von Bußgeldern erheblich.
Die Erläuterungen des EuGH zur Anwendung des unionskartellrechtlichen Unternehmensbegriffs bei der Festlegung der Obergrenze für umsatzbasierte Geldbußen deuten darauf hin, dass die durchschnittlichen Bußgelder für juristische Personen, die einer wirtschaftlichen Einheit gemäß Art. 101 und 102 AEUV angehören, steigen werden.
EuGH-Urteil im deutschen Recht umstritten
Die Entscheidung wirft Fragen zur direkten Haftung juristischer Personen auf, insbesondere im Kontext des deutschen Schuldprinzips, das auf dem Rechtsstaatsprinzip und der Menschenwürde basiert. Die Integration des EuGH-Konzepts in das deutsche Recht bleibt umstritten, vor allem hinsichtlich der Vereinbarkeit mit dem unionskartellrechtlichen Unternehmensbegriff.
Herausforderungen des EuGH-Konzepts in Deutschland
Unklar bleibt, in welchen Fällen eine juristische Person schuldhaft gegen die DSGVO verstößt, da sie ausschließlich durch ihre Repräsentanten handeln kann. Die Anwendung des unionskartellrechtlichen Unternehmensbegriffs zur Festlegung der Geldbußen-Obergrenze wirft erhebliche rechtsstaatliche Fragen auf. Diese stützt sich allein auf den nicht bindenden Erwägungsgrund 150 der DSGVO und widerspricht den Definitionen und der Gesamtsystematik der Verordnung. Der EuGH hat diese Aspekte nicht thematisiert, was Raum für weitere Diskussionen lässt.
EuGH-Neigung zur Zurechnung von Verhalten und Wissen
Der EuGH neigt dazu, Verhalten und Wissen natürlicher Personen den juristischen Personen zuzurechnen. Dies ist nicht nur auf Vertreter, Leiter oder Geschäftsführer beschränkt. Der unionskartellrechtliche Verschuldensmaßstab zeigt, wie leicht der Vorwurf der Fahrlässigkeit erhoben werden kann. Einschränkungen könnten eintreten, wenn eine Person die Grenzen ihrer Funktion überschreitet und dieses Verhalten dem Unternehmen nicht zuzurechnen ist. Ob dieser Ansatz auch auf DSGVO-Verstöße übertragbar ist, bleibt abzuwarten.
Fazit
Das EuGH-Urteil in der Sache „Deutsche Wohnen“ hat wegweisende Entscheidungen im Bereich Datenschutz und Unternehmenshaftung getroffen. Die Auswirkungen auf die Praxis werden sich in den kommenden Monaten zeigen, während weiterhin intensiv über die Umsetzung im deutschen Recht diskutiert wird.
Es ist ratsam, ein umfassendes und streng überwachtes Datenschutz-Management-System zu implementieren. Dies gewährleistet, dass juristische Personen im Falle eines DSGVO-Verstoßes durch ihre Mitarbeiter nachweislich nach höchsten Datenschutzstandards agieren. Die Anwesenheit eines Datenschutzbeauftragten ist dabei von entscheidender Bedeutung. Durch klare Strukturen und ständige Überwachung kann im Ernstfall argumentiert werden, dass die juristische Person sich der Rechtswidrigkeit ihres Verhaltens nicht bewusst war, insbesondere wenn ein erfahrener Datenschutzbeauftragter in die Prozesse eingebunden ist.