Bußgeld gegen Deutsche Wohnen - EuGH stellt Leitplanken für Bußgelder gegen Unternehmen auf

Im Jahr 2020 verhängte die Berliner Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen. Hintergrund hierfür war die, nach Ansicht der Aufsichtsbehörde rechtswidrige, Speicherung sensibler Mieterdaten sowie das vorsätzliche Unterlassen erforderlicher Maßnahmen zur Datenlöschung.

Vor dem Hintergrund der Bußgeldhöhe verständlich ging die Deutsche Wohnen auf dem Rechtsweg gegen das Bußgeld der Aufsichtsbehörde vor. In Deutschland beschäftigte das Verfahren verschiedene Gerichte, bis das Kammergericht entscheidungserhebliche Fragestellungen zur europarechtskonformen Auslegung der Art. 83 Abs. 4 bis 6 DSGVO dem EuGH zur Entscheidung vorlegte. Gestritten wurde insbesondere darüber, in welchem Verhältnis die Haftungsregelungen aus der DSGVO zu den Vorgaben und der Praxis des deutschen Ordnungswidrigkeitenrechts stehen.

Entsprechend der Vorlagefragen des Kammergerichts befasste sich der EuGH mit der Frage, ob Bußgelder nach der DSGVO direkt gegen Unternehmen verhängt werden können, und bejahte dies deutlich. Sofern ein Unternehmen als Verantwortlicher auftrete, könne ein Bußgeld auch direkt gegen das Unternehmen verhängt werden. Der EuGH begründete dies speziell damit, dass die DSGVO gerade keine Unterscheidung zwischen natürlichen und juristischen Personen treffe.

Klar positionierte sich das Gericht auch in der Frage des Verschuldensmaßstabes. Entgegen einigen deutschen Einschätzungen erfordere die Datenschutzgrundverordnung die Feststellung, dass ein Verstoß vorsätzlich oder fahrlässig begangen wurde. Eine verschuldensunabhängige Verhängung von Bußgeldern für Verstöße gegen die DSGVO komme dagegen nicht in Betracht. Bei der Feststellung einer schuldhaften Begehung dürfen die Anforderungen aber nicht zu hoch angesetzt werden.

Bei der Beurteilung der Entscheidung ist zu berücksichtigen, dass hiermit der Rechtsstreit um das Bußgeld gegen die Deutsche Wohnen nicht endgültig entschieden ist. Vielmehr hat der EuGH nur im Rahmen der Vorlagefragen über die europarechtliche Auslegung der angesprochenen Normen entschieden und deutlich gemacht, dass nationalen Normen, die ein Vorgehen im Widerspruch zu diesen Grundsätzen vorgeben, aufgrund vorrangigem europäischem Recht nicht angewendet werden dürfen. Anhand dieser Kriterien ist nun das Kammergericht berufen, ein Urteil im konkreten Verfahren zu treffen.

Die Feststellung, dass auch nach der DSGVO im Rahmen eines Bußgeldverfahrens der Nachweis eines schuldhaften Verstoßes gegen datenschutzrechtliche Vorgaben durch die Behörden zu bringen ist, ist aus Unternehmenssicht klar zu begrüßen. Die Ansicht, dass die wirksame Durchsetzung der DSGVO eine Verhängung von Bußgeldern auch ohne Nachweise eines konkreten Verschuldens erfordere, wurde damit deutlich zurückgewiesen.

Für Unternehmen bietet das gesamte Verfahren aber auch darüber hinaus wichtige Punkte. So ist dringend zu empfehlen, das betriebliche Risiko- und Datenschutzmanagement an diese Haftungskriterien anzupassen.

Wie bereits dargelegt, ist die Schulung von Mitarbeitern auch als Teil der organisatorischen Sicherheitsmaßnahmen eines Verantwortlichen anzusehen. Demzufolge ist bei der konkreten Ausgestaltung der Schulungsmaßnahmen dem risikobasierten Ansatz der DSGVO zu folgen. Konkret bedeutet dies, dass die Schulungsinhalte und der Schulungsrhythmus in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten des Unternehmens beziehungsweise der zu schulenden Mitarbeiter stehen müssen. Um diesem Grundsatz gerecht zu werden, kann es angezeigt sein, gerade in den Schulungsinhalten, zwischen verschiedenen Tätigkeitsbereichen im Unternehmen zu differenzieren. Bergen doch die Verarbeitungstätigkeiten in der Personalabteilung ein anderes Risikopotential als die Verarbeitungstätigkeiten in der Logistik.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.