Unternehmen haften für DSGVO-Verstoß von Mitarbeitern

Dafür muss Mitarbeiter nicht ausfindig gemacht werden

Können Bußgelder wegen eines DSGVO-Verstoßes auch gegen das Unternehmen verhängt werden, wenn der schuldige Mitarbeiter nicht ausfindig gemacht werden kann? Diese Frage wurde dem EuGH vorgelegt, um die Auslegung nationaler Vorschriften aus dem OWiG zu klären.

Veröffentlicht am: 02.01.2024
Qualifikation: Fachanwalt für IT-Recht
Lesedauer:

Der Europäische Gerichtshof (EuGH) hat in einer jüngsten Entscheidung (Urteil v. 05.12.2023, Az. C-807/21) klargestellt, dass DSGVO-Bußgelder gegen Unternehmen verhängt werden können, wenn diese ein Verschulden trifft. Dabei müsse das Fehlverhalten einzelner Mitarbeiter nicht nachgewiesen werden. Das im deutschen Ordnungswidrigkeitengesetz geforderte nachgewiesene Verschulden einer natürlichen Person bedarf es damit gerade nicht.

Bußgeld wegen Datenschutzverstößen

Ausgangspunkt der Entscheidung war ein Bußgeldentscheid gegen die Deutsche Wohnen SE.

Die Wohnungsgesellschaft Deutsche Wohnen SE ist seit der Übernahme durch die Vonovia SE mit rund 550.000 Wohnungen Teil des größten deutschen Wohnungskonzerns. Damit geht das Verwalten unzähliger personenbezogener Daten der Mieter einher. Bei der Sammlung und Verarbeitung dieser Daten kam es jahrelang zu Datenschutzverstößen. Folge waren zunächst datenschutzrechtliche Maßnahmen, die nur bedingt umgesetzt worden waren, sodass es letztlich zur Verhängung eines Bußgeldes in Höhe von rund 14,5 Millionen Euro gegen die Deutsche Wohnen SE kam. Dies sah das Unternehmen nicht ein und griff den Bescheid gerichtlich an.

OWiG fordert Verschulden einer natürlichen Person – ist das europarechtskonform?

Zuständig war zunächst das Landgericht in Berlin, welches das gesamte Bußgeldverfahren einstellte. Die Richter konnten keinen Verstoß einer natürlichen Person, wie eines konkreten Geschäftsführers oder Mitarbeiters der Deutschen Wohnen feststellen, obwohl dies nach den Vorgaben des deutschen Ordnungswidrigkeitengesetzes vorausgesetzt wird. Das im Beschwerdeverfahren mit dem Fall befasste Kammergericht hatte Zweifel an der Vereinbarkeit dieser deutschen Vorgabe mit der DSGVO und legte den Fall dem EuGH vor.

EuGH stellt Maßstäbe für Verschulden auf

Der EuGH entschied nun, dass die Bußgeldhaftung eines Unternehmens nicht davon abhängt, dass zuvor der Verstoß einer natürlichen Person als Unternehmensvertreter festgestellt werden konnte. Zwar setze die Verhängung eines Bußgeldes stets ein Verschulden voraus. Dies stelle im Fall einer juristischen Person allerdings ein Unternehmensverschulden dar. Eine verschuldensunabhängige Bußgeldhaftung bestehe gerade nicht.

Das bedeutet, dass für die Verhängung eines Bußgeldes nicht der konkrete Mitarbeiter im Unternehmen gefunden werden muss, der die Daten rechtswidrig verarbeitet hat. Es reicht das Verschulden der juristischen Person insgesamt aus. Juristische Personen haften damit für Datenschutzverstöße ihrer Mitarbeiter und das unabhängig von der jeweiligen Ebene oder Position des Mitarbeiters, solange der Mitarbeiter nicht seine Befugnisse überschritten hat.

Auch Verschulden für Auftragnehmer

Davon umfasst sind auch Auftragnehmer, nämlich solche Personen, die im Namen der juristischen Person und im Rahmen ihrer geschäftlichen Tätigkeit handeln. Zudem hat der EuGH klargestellt, dass Mitgliedstaaten der EU lediglich Verfahrensregeln für Datenschutz-Bußgelder aufstellen können, dagegen keine inhaltlichen Voraussetzungen vorgeben können.

Die Richter am Kammergericht müssen nun die vom EuGH aufgestellten Maßstäbe auf die Datenschutzverstöße der Deutschen Wohnen SE anwenden und dabei die deutschen Regelungen aus dem Ordnungswidrigkeitengesetz im Lichte der Rechtsprechung des EuGH auslegen.