Unternehmensbußgelder: Neues EUGH Urteil verschafft Klarheit

EuGH-Urteil verändert das Spiel für Unternehmen

In einem wegweisenden Urteil vom 5. Dezember 2023 hat der Europäische Gerichtshof (EuGH) in der Angelegenheit “Deutsche Wohnen” (Rs. C-807/21) wichtige Grundsatzentscheidungen bezüglich Datenschutz und Bußgeldern getroffen. Diese Entscheidung könnte nicht nur die Praxis der Datenschutzdurchsetzung revolutionieren, sondern auch erhebliche Auswirkungen auf Unternehmen und deren Compliance-Maßnahmen haben.

Hintergrund

Bis zu diesem Urteil sah das deutsche Sanktionsrecht keine unmittelbare Haftung von Unternehmen vor. Die Verhängung eines Bußgeldes gegen juristische Personen setzte gemäß § 30 OWiGvoraus, dass eine natürliche Person (Leitungsperson) eine rechtswidrige und schuldhafte Anknüpfungstat begangen hatte, die dem Unternehmen zuzurechnen war.

Die Geldbuße beträgt dabei:

1.
im Falle einer vorsätzlichen Straftat bis zu zehn Millionen Euro,
2.
im Falle einer fahrlässigen Straftat bis zu fünf Millionen Euro.

Die Frage, ob dies auch für Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) galt, war umstritten.

EuGH-Entscheidung im Überblick

  1. Direkte Haftung von Unternehmen:Der EuGH entschied, dass Geldbußen nach der DSGVO direkt gegen juristische Personen verhängt werden können, sofern sie die Eigenschaft eines Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO haben.

  2. Schuldhaftes Verhalten erforderlich: Das EuGH betonte, dass Geldbußen nur dann verhängt werden können, wenn der Verantwortliche, egal ob natürliche oder juristische Person, den Datenschutzverstoß vorsätzlich oder fahrlässig begangen hat.

  3. Verschuldensmaßstab: Der EuGH führte aus, dass der unionskartellrechtliche Verschuldensmaßstab auf DSGVO-Verstöße übertragen wird. Ein Verschulden liegt vor, wenn der Verantwortliche sich der Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte.

  4. Unternehmensbegriff und Bußgeldobergrenze: Der EuGH machte Ausführungen zum Unternehmensbegriff im Zusammenhang mit der Bestimmung der Obergrenze für umsatzbasierte Geldbußen. Dabei verwies er auf den unionskartellrechtlichen Begriff des “Unternehmens” und betonte, dass die Umsätze der gesamten wirtschaftlichen Einheit herangezogen werden können.

Auswirkungen und Diskussion

Die EuGH-Entscheidung schafft Klarheit bezüglich der unmittelbaren Haftung von Unternehmen und des Verschuldensmaßstabs für Datenschutzverstöße. Dies könnte zu einer Verschärfung der Durchsetzung von Datenschutzregelungen führen, da Unternehmen nun direkt für Verstöße belangt werden können.

Die Ausführungen zum Unternehmensbegriff könnten zu höheren Bußgeldern führen, da die Obergrenze auf Grundlage des Gesamtumsatzes einer wirtschaftlichen Einheit berechnet werden kann. Dies eröffnet den Datenschutzbehörden einen erweiterten Spielraum bei der Festsetzung von Bußgeldern.

Die Erläuterungen des EuGH zum Geltungsbereich des Unternehmensbegriffs im Unionskartellrecht bei der Festlegung der Obergrenze für umsatzbasierte Geldbußen deuten darauf hin, dass die durchschnittliche Höhe der verhängten Bußgelder bei juristischen Personen, die einer wirtschaftlichen Einheit gemäß Art. 101 und 102 AEUV angehören, steigen wird.

EUGH Urteil ins deutsche Recht umstritten

Die Entscheidung wirft wichtige Fragen zur direkten Haftung juristischer Personen auf und wirft besonders im Kontext des deutschen Schuldprinzips, das auf dem Rechtsstaatsprinzip und der Menschenwürde basiert, Bedenken auf. Die Integration dieses EuGH-Konzepts in das deutsche Recht ist weiterhin umstritten, insbesondere im Hinblick auf die Vereinbarkeit mit dem unionskartellrechtlichen Unternehmensbegriff.

Herausforderungen des EuGH-Konzepts in Deutschland

Die Frage, in welchen Fällen eine juristische Person, die ausschließlich durch ihre Repräsentanten handeln kann, schuldhaft gegen die Bestimmungen der DSGVO verstößt, bleibt ungeklärt. Die Anwendung des unionskartellrechtlichen Unternehmensbegriffs zur Festlegung der Geldbußen-Obergrenze wirft unter rechtsstaatlichen Gesichtspunkten erhebliche Fragen auf. Diese Stützt sich allein auf den rechtlich nicht bindenden Erwägungsgrund 150 der DSGVO und steht im klaren Widerspruch zum anordnenden Teil der Verordnung, insbesondere zu den Definitionen in Art. 4 Nr. 18, Nr. 19 DSGVO und der Gesamtsystematik der Verordnung. Bedauerlicherweise hat der EuGH diese Aspekte nicht thematisiert, was Raum für weitere Diskussionen und Klärungen lässt.

EuGH-Neigung zur Zurechnung von Verhalten und Wissen

Der Europäische Gerichtshof neigt dazu, Verhalten und Wissen natürlicher Personen zuzurechnen. Dabei ist es wichtig zu betonen, dass dies nicht zwangsläufig auf Vertreter, Leiter oder Geschäftsführer beschränkt ist. Bei genauerer Betrachtung des Verschuldensmaßstabs des Unionskartellrechts wird deutlich, wie einfach unter Umständen der Vorwurf der Fahrlässigkeit erhoben werden kann. In der Regel genügt es, wenn irgendeine natürliche Person im Unternehmen fahrlässig gehandelt hat. Einschränkungen könnten jedoch eintreten, insbesondere wenn eine Person eindeutig die Grenzen ihrer Funktion überschreitet und dieses Verhalten dem Unternehmen nicht anderweitig zuzurechnen ist, beispielsweise durch Billigung. Ob dieser Ansatz auch auf DSGVO-Verstöße übertragbar ist, die im Vergleich zu Kartellrechtsverstößen deutlich leichter begangen werden können, bleibt abzuwarten.

Fazit

Das EuGH-Urteil in der Sache “Deutsche Wohnen” hat wegweisende Grundsatzentscheidungen im Bereich Datenschutz und Unternehmenshaftung getroffen. Die Auswirkungen auf die Praxis werden sich in den kommenden Monaten zeigen, während weiterhin eine intensive Diskussion über die Umsetzung dieser Entscheidung im deutschen Recht geführt wird.

Vor diesem Hintergrund ist es dringend ratsam, ein umfassendes und streng überwachtes Datenschutz-Management-System zu implementieren. Dies gewährleistet, dass juristische Personen im Falle eines DSGVO-Verstoßes durch ihre Mitarbeiter nachweislich nach höchsten Datenschutzstandards agieren. Die Anwesenheit eines Datenschutzbeauftragten ist dabei von entscheidender Bedeutung. Durch eine klare Struktur und ständige Überwachung kann im Ernstfall argumentiert werden, dass der juristischen Person selbst nicht bewusst war, dass rechtswidriges Verhalten vorlag, insbesondere wenn ein erfahrener Datenschutzbeauftragter aktiv in die Prozesse eingebunden ist.