Holding-Haftung: Der EuGH präzisiert Verantwortung bei DSGVO-Verstößen
29. April 2024
Im Verfahren “Deutsche Wohnen” hat sich der Europäische Gerichtshof (EuGH) vor Kurzem zu Bußgeldern nach der Datenschutz-Grundverordnung (DSGVO) geäußert. Dabei ging es insbesondere um Holdings. Das Urteil hat weitreichende Folgen für die Unternehmenshaftung im Datenschutz. Dieser Beitrag zeigt daher die wesentlichen Aspekte des Urteils auf und beantwortet u. a. die Frage, warum die Konzernmutter und nicht die Tochtergesellschaft sanktioniert wurde.
Lesedauer: 5 Minuten (ca. 990 Wörter)
Der EuGH hat sich in einer wegweisenden Entscheidung kürzlich zu den Bußgeldern gemäß DSGVO gegen Unternehmen geäußert (EuGH, Urteil vom 5. Dezember 2023, Az: C-807/21). Dabei ging der Gerichtshof speziell auf die Verantwortlichkeit von Holdings ein. In dem Urteil präzisiert er die Anforderungen, die Datenschutzbehörden erfüllen müssen, wenn sie einen Verstoß gegen die DSGVO sanktionieren wollen. Allerdings ist diese Entscheidung im Ergebnis zwiespältig: Einerseits dürfte es für Datenschutzbehörden zwar ab sofort leichter sein, Verstöße gegen die DSGVO zu ahnden. Andererseits hebt der EuGH hervor, dass Unternehmen immer auch ein Verschulden nachzuweisen ist. Jedoch machte der Gerichtshof keine Angaben dazu, wie dieser Nachweis in der Praxis zu führen ist.
Den Ausgangspunkt des Verfahrens bildete ein Bußgeldbescheid der Berliner Datenschutzbehörde von Oktober 2020. Darin wurde das Immobilienunternehmen Deutsche Wohnen SE mit einer Rekordstrafe von 14,5 Mio. € belegt. Hiergegen suchte die Deutsche Wohnen gerichtlichen Rechtsschutz. Zunächst hatte sich das Kammergericht Berlin mit der Sache zu befassen. Doch nach einem Beschluss von Dezember 2021 legten die Berliner Richter (Kammergericht Berlin, Beschluss vom 6. Dezember 2021, Az: 3 Ws 250/21) den Fall dem EuGH vor. Im Dezember 2023 hat dann der Europäische Gerichtshof in dieser Sache sein Urteil gesprochen und das Verfahren mitsamt seiner inhaltlichen Vorgaben zurück nach Berlin gegeben.
Organisation der Holding
Das Urteil hat Bedeutung für alle Unternehmen. Denn der EuGH äußerte sich zur Verantwortlichkeit von Unternehmen für Ihre Mitarbeiter, die personenbezogene Daten verarbeiten und dabei gegen die DSGVO verstoßen. Da die Deutsche Wohnen eine Holding ist, warf das Verfahren zudem eine weitere praktisch relevante Frage auf: Kann ein Mutterkonzern für Datenschutzverstöße haftbar gemacht werden, die von Mitarbeitern einer Tochtergesellschaft begangen wurden?
Die Holding, die Deutsche Wohnen mit Sitz in Berlin, ist in der Rechtsform der Europäischen Gesellschaft (SE) organisiert. Über Besitz- bzw. Servicegesellschaften hält sie knapp 170.000 Wohn- und Gewerbeeinheiten. Ihre Geschäftstätigkeit konzentriert sich auf die übergeordnete Leitung der Tochtergesellschaften, die das operative Geschäft führen. Mutter- und Tochtergesellschaften verarbeiten sensible personenbezogene Daten der Mieter wie z. B. Personalausweiskopien, Kontoauszüge, Gehaltsbescheinigungen, Arbeitsnachweise etc.
Begründung des Urteils
In seiner Urteilsbegründung hat sich der EuGH zu zwei wesentlichen Aspekten der Bußgeldpraxis der Datenschutzbehörden geäußert. Erstens hat sich der Gerichtshof zu der konkret handelnden Person geäußert, die innerhalb eines Unternehmens den Verstoß gegen die DSGVO begangen hat. Wichtig ist hierfür zunächst zu wissen, dass staatlichen Sanktionen in Deutschland das persönliche Schuldprinzip zu Grunde liegen. Das bedeutet, die Verhängung eines Bußgeldes setzt strikt voraus, dass die beanstandete Handlung von einer natürlichen Person vorgenommen wurde und dass diese Person identifiziert ist.
“[Nach dem EuGH] ist nicht erforderlich, dass ein Verstoß einer identifizierten natürlichen Person zugerechnet werden kann.”
Die Berliner Datenschutzbehörde hat in ihrem Bußgeldbescheid jedoch keine konkrete Person benannt, die den Verstoß begangen haben soll. Es stand lediglich fest, dass ein Verstoß gegen die DSGVO durch mindestens einen unbekannten Mitarbeiter vorlag. Nach Ansicht des EuGH ist dies bereits ausreichend, um ein Bußgeld zu verhängen. Es ist nicht erforderlich, dass ein Verstoß einer identifizierten natürlichen Person zugerechnet werden kann. Für Datenschutzbehörden bedeutet dies eine erhebliche (Beweis)Erleichterung in ihrer Bußgeldpraxis.
Rechtsunsicherheit nach DSGVO-Verstoß
Diesem Aspekt liegt eine sehr wichtige implizierte Erkenntnis zu Grunde. Denn der Verstoß gegen die DSGVO lag im Geschäftsbereich einer Tochtergesellschaft der Deutschen Wohnen und wurde nicht von einem Mitarbeiter der Konzernmutter begangen. Ungeachtet der geringen Einflussmöglichkeiten der Muttergesellschaft auf die Mitarbeiter der Tochtergesellschaft, rechnete der EuGH den DSGVO-Verstoß der Muttergesellschaft zu. Damit hat der Gerichtshof eine doppelte Zurechnung vorgenommen: Die Handlungen eines unbekannten Mitarbeiters der Tochtergesellschaft wurden zunächst der Tochtergesellschaft zugerechnet und im Anschluss nochmals weiter der Muttergesellschaft. Diese Vorgehen stellt ein Novum in der Spruchpraxis des EuGH dar.
Den zweiten wesentlichen Aspekt des Urteils bildet das Verschulden. Die Verhängung von Bußgeldern gem. Art. 83 DSGVO setzt zwingend Vorsatz oder Fahrlässigkeit voraus. Das Verschulden bezieht sich dabei auf das Unternehmen bzw. die Holding. Sofern eine Datenschutzbehörde ein Bußgeld verhängt, muss sie somit nachweisen, dass Vorsatz oder Fahrlässigkeit gegeben ist. Wie genau das Verschulden nachzuweisen ist, erklärte der EuGH allerdings nicht. Das ist nicht unbedenklich und lässt Unternehmen sowie Datenschutzbehörden in Rechtsunsicherheit zurück.
Auswirkungen des Urteil auf die Unternehmenshaftung
Auswirkungen auf die Praxis hat das Urteil in verschiedener Hinsicht. Holdings sollten durch Schulungen sicherstellen, dass nicht nur ihre eigenen Mitarbeiter die DSGVO einhalten. Vielmehr können die Mutterkonzerne jetzt auch für Verstöße verantwortlich gemacht werden, die Mitarbeiter der Töchtergesellschaften begangen haben. Um derlei Verstöße zu vermeiden, ist eine lückenlose Einhaltung der DSGVO-Compliance erforderlich. Holdings sollten das Urteil also zum Anlass nehmen, eine interne Compliance-Prüfung innerhalb des gesamten Konzerns durchzuführen.
Darüber hinaus müssen sich die Unternehmen auf erleichterte Anforderungen an die Verhängung von Bußgeldern einstellen. Wenn beispielsweise ein Unternehmen von der zuständigen Datenschutzbehörde schriftlich über einen anhaltenden Verstoß gegen die DSGVO informiert wurde, und dieser Verstoß daraufhin nicht behoben wird, reicht dies für ein Bußgeld nunmehr aus. Damit die Verantwortung insbesondere von Holdings damit nicht uferlos wird, müssen Datenschutzbehörden gleichwohl ein Verschulden nachweisen. Unternehmen sollten demnach durch interne Regelungen festlegen, wie u. a. mit entsprechenden Bescheiden von Datenschutzbehörden umzugehen ist.
Fazit: DSGVO-Bußgelder gegen Holdings
Im Ergebnis legt der EuGH in dem Urteil “Deutsche Wohnen” einerseits fest, dass Holdings durch eine doppelte Zurechnung auch für DSGVO-Verstöße verantwortlich gemacht werden können, die von Mitarbeitern einer Tochtergesellschaft verursacht wurden. Andererseits wurde das Erfordernis eines Verschuldens klargestellt, das sich auf das sanktionierte Unternehmen beziehen muss – und eine uferlose Haftung verhindert. Wie genau das Verschulden für die Datenschutzbehörden im Einzelfall allerdings nachzuweisen ist, sagte der Gerichtshof nicht.
Abschließend kann die Höhe eines Bußgeldes – je nach Verstoß – bis zu vier Prozent des Jahresumsatzes des Unternehmens betragen. Da der Jahresumsatz eines Mutterkonzerns auch aus den Umsätzen der Töchtergesellschaften berechnet werden kann, können Holdings viel höher sanktioniert werden. Das ist mutmaßlich der Grund, weshalb sich die Berliner Datenschutzbehörde gegen die Deutsche Wohnen SE gewandt hat.
Sie kommen aus Kiel oder Schleswig-Holstein und haben Fragen zur Haftung und Verantwortung von Unternehmen nach der DSGVO? Oder Sie kommen aus dem übrigen Bundesgebiet und möchten sich über Bußgelder informieren? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.
Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)
Auch interessant: Schmerzensgeld bei Verstoß gege die DSGVO?
- 29.04.2024
- 10:00