1. Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung ist dahin auszulegen, dass die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.
2. Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.
Anmerkung
Der Generalanwalt hat mit den zitierten Schlussanträgen zu den mit Beschluss vom 6.12.2021 zur Vorabentscheidung vorgelegten Fragen des KG (vgl. dazu die Anmerkung des Verfassers im BLD Newsletter Financial Lines 01/2022) Stellung genommen.
Der Generalanwalt meint, dass ein Bußgeld wegen Verstoßes gegen die DSGVO unmittelbar gegen das Unternehmen zu verhängen ist, ohne dass es der Zurechnung über das Verhalten einer natürlichen Person bedarf. Somit folgt der Generalanwalt – wie bereits das LG Bonn mit Urteil vom 11.11.2020 (29 OWi 430 Js-OWi 366/20 „1&1 Telekom“) – dem sog. „Funktionsträgerprinzip“ und lehnt das im vorliegenden Fall in erster Instanz vom LG Berlin mit Beschluss vom 18.2.2021 (526 OWi LG) 212 Js-OWi 1/20 (1/20) „Deutsche Wohnen“) vertretene sog. „Rechtsträgerprinzip“ ab. Dies begründet der Generalanwalt abstrakt damit, dass die Möglichkeit, wegen eines Verstoßes im Bereich des Datenschutzes eine Sanktion unmittelbar gegen eine juristische Person zu verhängen, nicht nur in mehreren Bestimmungen der DSGVO vorgesehen sei, sondern sogar einen der Schlüsselmechanismen darstelle, um die Wirksamkeit der DSGVO zu gewährleisten. Zudem sei die Geldbuße hier konkret wegen einer Reihe von Verstößen gegen die DSGVO verhängt worden, die der Gesellschaft als dem für die Datenverarbeitung Verantwortlichen zugerechnet worden seien.
Die vom KG aufgeworfene weitere Frage nach der „strict liability“, also ob ein objektiver Verstoß genügt oder das Verschuldenserfordernis gilt, betrachtet der Generalanwalt im vorliegenden Fall als hypothetisch, beantwortet sie aber in dem Sinne, dass ein schuldhaftes Verhalten notwendige Voraussetzung für die Verhängung eines Bußgeldes ist.
Sofern der EuGH – wie jedenfalls in Bezug auf den ersten Themenkomplex zu erwarten ist – der Auffassung des Generalanwalts folgt, können wegen Verstößen gegen die DSGVO Bußgelder verhängt werden, ohne dass ein Fehlverhalten einer bestimmten Führungskraft im Unternehmen festgestellt werden muss (dies könnte im Rahmen der Zumessung eine Rolle spielen). Das kann es dem Unternehmen erschweren, Organhaftungsansprüche geltend zu machen, weil es nicht auf diesbezügliche Feststellungen der Behörde zurückgreifen kann.
Ansprechpartner
RA Dr. Sven-Markus Thiel, Köln
sven-markus.thiel@bld.de
Schlussanträge des EuGH-Generalanwalts zur Zurechnung von DSGVO-Verstößen in Unternehmen
