Urteil : Unternehmenshaftung nach der DS-GVO folgt europäischem Funktionsträgerprinzip : aus der RDV 1/2024, Seite 37-41
HIGHLIGHTS FÜR DEN BETRIEBLICHEN DATENSCHUTZ (EuGH, Urteil vom 5. Dezember 2023 – C 807/21–)
Relevanz für die Praxis
Das Urteil zum „datenschutzrechtlichen Unternehmensbegriff“ wurde von vielen Seiten gespannt erwartet. Der Rechtsstreit, der sich an einem Millionenbußgeld gegen die Deutsche Wohnen entfachte, sorgte in Deutschland für viel Unruhe. Strittig war, ob die Verhängung einer Geldbuße gegen ein Unternehmen dem nationalen Haftungsmodell, dem sog. Rechtsträgerprinzip, folgte, oder dem internationalen Funktionsträgerprinzip. Die Konsequenzen für die Praxis sind weitreichend. Wesentliches ist nun entschieden.
Ausdrücklich klargestellt hat das Gericht, dass Unternehmen nicht nur für Verstöße von Leitungspersonen haften, sondern für die Handlungen sämtlicher Mitarbeiter, die im Rahmen der unternehmerischen Tätigkeit und im Namen des Unternehmens handeln. Benannt und identifiziert werden muss die Person, die den Verstoß beging, hierfür nicht. Der Bescheid kann direkt und unmittelbar gegen das Unternehmen gerichtet werden, so das Gericht.
Verschuldensunabhängig darf die Geldbuße indes nicht verhängt werden. Der Verstoß muss dem Unternehmen bewusst gewesen sein oder für dieses zumindest vorhersehbar. Wie genau diese „Unternehmensschuld“ ausgestaltet ist, führt das Gericht im vorliegenden Urteil nicht weiter aus. Es stellt indes klar, dass das Schulderfordernis ebenso wenig wie die Anknüpfungstat eine Handlung oder gar Kenntnis seitens des Leitungsorgans der juristischen Person voraussetzt. Es ist daher damit zu rechnen, dass eine Exkulpation für Unternehmen in Zukunft nur noch im Falle eines Exzesses oder der vollständigen Unvermeidbarkeit des Verstoßes, bspw. bei einem unvermeidbaren Verbotsirrtum, möglich sein wird.
Ebenfalls klargestellt hat das Gericht, dass Berechnungsgrundlage für die Höhe der Geldbuße der gesamte weltweit erzielte Jahresumsatzes des vorangegangenen Geschäftsjahrs des betreffenden Unternehmens ist. Bei der Berechnung ist, so das Gericht, der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV zugrunde zu legen. Der Konzern haftet demnach für Verstöße von Tochtergesellschaften.
Der Streit um die Unternehmenshaftung nach der DS-GVO ist damit vorerst im Sinne des europäischen Funktionsträgerprinzips entschieden.
- Art. 58 Abs. 2 Buchst. i) und Art. 83 Abs. 1 bis 6 der Ver‑ ordnung (EU) 2016/679 […] sind dahin auszulegen, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DS‑GVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
- Art. 83 der Verordnung 2016/679 ist dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DS‑GVO ge‑ nannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Zu den Vorlagefragen:
Zur ersten Frage:
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DS-GVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DS-GVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Vorab ist darauf hinzuweisen, dass die deutsche Regierung in ihren schriftlichen Erklärungen Zweifel an dieser Auslegung des nationalen Rechts durch das vorlegende Gericht geäußert hat, da § 130 OWiG erlaube, auch außerhalb der von § 30 OWiG erfassten Fälle eine Geldbuße gegen eine juristische Person zu verhängen. Des Weiteren sei es nach diesen beiden Bestimmungen möglich, eine sogenannte „anonyme“ Geldbuße in einem Verfahren gegen das Unternehmen festzusetzen, ohne dass eine natürliche Person als Täter des fraglichen Verstoßes identifiziert werden müsse.
In Beantwortung eines in Rn. 28 des vorliegenden Urteils genannten Ersuchens um Klarstellung an das vorlegende Gericht hat dieses ausgeführt, dass § 130 OWiG keinen Einfluss auf die erste Vorlagefrage habe.
Normadressat dieser Bestimmung sei nämlich der Inhaber eines Betriebs oder Unternehmens, der eine Aufsichtspflicht schuldhaft verletzt haben müsse. Der Nachweis einer solchen dem Unternehmensinhaber zur Last fallenden Pflichtverletzung sei jedoch überaus komplex und häufig unmöglich. Die Frage, ob eine Gruppe von Unternehmen als „Unternehmen“ bzw. „Unternehmensinhaber“ im Sinne dieser Bestimmung eingestuft werden könnten, sei auf nationaler Ebene umstritten. Jedenfalls sei die erste Vorlagefrage auch in diesem Zusammenhang relevant.
Es ist darauf hinzuweisen, dass der Gerichtshof in Bezug auf die Auslegung von Bestimmungen des nationalen Rechts grundsätzlich gehalten ist, die sich aus der Vorlageentscheidung ergebenden rechtlichen Würdigungen zugrunde zu legen. Nach ständiger Rechtsprechung ist der Gerichtshof nämlich nicht befugt, das innerstaatliche Recht eines Mitgliedstaats auszulegen (Urteil vom 26. Januar 2021, Hessischer Rundfunk, C 422/19 und C 423/19, EU:C:2021:63, Rn. 31 und die dort angeführte Rechtsprechung).
Daher ist bei der Beantwortung der ersten Vorlagefrage die Annahme zugrunde zu legen, dass nach dem anwendbaren nationalen Recht eine Geldbuße wegen eines Verstoßes gemäß Art. 83 Abs. 4 bis 6 DS-GVO gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur unter den in § 30 OWiG bestimmten Voraussetzungen, wie sie das vorlegende Gericht dargelegt hat, verhängt werden kann.
Zur Beantwortung der ersten Vorlagefrage ist zunächst festzustellen, dass sich die in der DS-GVO vorgesehenen Grundsätze, Verbote und Pflichten insbesondere an „Verantwortliche“ richten. Deren Verantwortung und Haftung erstreckt sich nach den Ausführungen im 74. ErwG der DS-GVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DS-GVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Art. 83 Abs. 4 bis 6 DS-GVO genannten Verstöße die Grundlage dafür bildet, nach Art. 83 DS-GVO eine Geldbuße gegen den Verantwortlichen zu verhängen.
In Art. 4 Nr. 7 DS-GVO ist der Begriff „Verantwortlicher“ weit definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Das Ziel dieser weiten Definition des Art. 4 Nr. 7 DS-GVO – die ausdrücklich auch juristische Personen einschließt – besteht im Einklang mit dem Ziel der DS-GVO darin, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. in diesem Sinne Urteile vom 29. Juli 2019, Fashion ID, C 40/17, EU:C:2019:629, Rn. 66, und vom 28. April 2022, Meta Platforms Ireland, C 319/20, EU:C:2022:322, Rn. 73 sowie die dort angeführte Rechtsprechung).
Des Weiteren hat der Gerichtshof bereits entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als Verantwortlicher angesehen werden kann (vgl. in diesem Sinne Urteil vom 10. Juli 2018, Jehovan todistajat, C 25/17, EU:C:2018:551, Rn. 68).
Somit ergibt sich aus dem Wortlaut und dem Zweck von Art. 4 Nr. 7 DS-GVO, dass der Unionsgesetzgeber bei der Bestimmung der Haftung nach der DS-GVO nicht zwischen natürlichen und juristischen Personen unterschieden hat, da die einzige Voraussetzung für diese Haftung darin besteht, dass diese Personen allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
Vorbehaltlich der Bestimmungen von Art. 83 Abs. 7 DS-GVO betreffend Behörden und öffentliche Stellen haftet daher jede Person, die diese Voraussetzung erfüllt – unabhängig davon, ob es sich um eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle handelt – u.a. für jeden in Art. 83 Abs. 4 bis 6 der DS-GVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde.
In Bezug auf juristische Personen bedeutet dies zum einen, wie der Generalanwalt in den Nrn. 57 bis 59 seiner Schlussanträge im Wesentlichen festgestellt hat, dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. Zum anderen muss es möglich sein, die in Art. 83 DS-GVO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können.
Sodann legt Art. 58 Abs. 2 DS-GVO die Befugnisse der Aufsichtsbehörden zum Erlass von Abhilfemaßnahmen genau fest, ohne auf das Recht der Mitgliedstaaten zu verweisen oder den Mitgliedstaaten einen Ermessensspielraum einzuräumen. Zum einen zielen diese Befugnisse, zu denen gemäß Art. 58 Abs. 2 Buchst. i) DS-GVO die Befugnis zur Verhängung von Geldbußen gehört, auf den Verantwortlichen ab, und zum anderen kann ein solcher Verantwortlicher, wie aus Rn. 39 des vorliegenden Urteils hervorgeht, sowohl eine natürliche als auch eine juristische Person sein. Die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer solchen Geldbuße zu beachten hat, sind in Art. 83 Abs. 1 bis 6 DS-GVO genau und ohne Ermessensspielraum für die Mitgliedstaaten aufgeführt.
Somit ergibt sich aus der Zusammenschau von Art. 4 Nr. 7, Art. 83 und Art. 58 Abs. 2 Buchst. i) DS-GVO, dass eine Geldbuße wegen eines Verstoßes gemäß Art. 83 Abs. 4 bis 6 DS-GVO auch gegen juristische Personen verhängt werden kann, sofern sie die Eigenschaft eines Verantwortlichen haben. Dagegen gibt es in der DS-GVO keine Bestimmung, die die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängig macht, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde.
Zwar ergibt sich aus Art. 58 Abs. 4 und Art. 83 Abs. 8 DS-GVO im Licht des 129. Erwägungsgrundes der DS-GVO, dass die Ausübung der Befugnisse, über die die Aufsichtsbehörde gemäß diesen Artikeln verfügt, angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss.
Die Tatsache, dass die DS-GVO den Mitgliedstaaten somit die Möglichkeit einräumt, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, bedeutet jedoch keineswegs, dass sie auch befugt wären, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzusehen, die zu den in Art. 83 Abs. 1 bis 6 DS-GVO geregelten hinzutreten. Des Weiteren wird durch den Umstand, dass der Unionsgesetzgeber eigens und ausdrücklich diese Möglichkeit vorgesehen hat, aber nicht diejenige, solche zusätzlichen materiellen Voraussetzungen festzulegen, bestätigt, dass er den Mitgliedstaaten insoweit keinen Ermessensspielraum gelassen hat. Für diese materiellen Voraussetzungen gilt daher ausschließlich das Unionsrecht.
Die vorstehende wörtliche Auslegung von Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DS-GVO wird durch den Zweck der DS-GVO bestätigt.
Insbesondere geht aus dem zehnten Erwägungsgrund der DS-GVO hervor, dass deren Bestimmungen u.a. die Ziele haben, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. In den Erwägungsgründen 11 und 129 der DS-GVO wird außerdem das Erfordernis betont, zur Sicherstellung einer einheitlichen Anwendung der DS-GVO sicherzustellen, dass die Aufsichtsbehörden über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie über gleiche Sanktionen im Fall von Verstößen gegen die DS-GVO verfügen.
Es liefe diesem Zweck der DS-GVO jedoch zuwider, den Mitgliedstaaten zu gestatten, einseitig und als erforderliche Voraussetzung für die Verhängung einer Geldbuße gemäß Art. 83 DS-GVO gegen einen Verantwortlichen, der eine juristische Person ist, zu verlangen, dass der betreffende Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde oder ihr zuzurechnen ist. Außerdem könnte eine solche zusätzliche Anforderung letztlich unter Verstoß gegen Art. 83 Abs. 1 DS-GVO die Wirksamkeit und die abschreckende Wirkung von Geldbußen schwächen, die gegen juristische Personen als Verantwortliche verhängt werden.
Nach Art. 288 Abs. 2 AEUV ist eine Unionsverordnung in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat, so dass es, sofern nichts anderes bestimmt ist, ausgeschlossen ist, dass die Mitgliedstaaten innerstaatliche Vorschriften erlassen, die die Tragweite einer solchen Verordnung beeinträchtigen. Außerdem dürfen die Mitgliedstaaten aufgrund der ihnen aus dem AEU Vertrag obliegenden Verpflichtungen die unmittelbare Geltung, die den Verordnungen innewohnt, nicht vereiteln. Insbesondere dürfen sie keine Handlung vornehmen, durch die die unionsrechtliche Natur einer Rechtsvorschrift und die sich daraus ergebenden Wirkungen den Einzelnen verborgen würden (Urteil vom 15. November 2012, Al-Aqsa/Rat und Niederlande/Al-Aqsa, C 539/10 P und C 550/10 P, EU:C:2012:711, Rn. 86 und 87 sowie die dort angeführte Rechtsprechung).
Schließlich ist mit Blick auf die Fragen des vorlegenden Gerichts festzustellen, dass der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV ohne Bedeutung für die Frage ist, ob und unter welchen Voraussetzungen eine Geldbuße nach Art. 83 der DS-GVO gegen einen Verantwortlichen verhängt werden kann, der eine juristische Person ist, da diese Frage in Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DS-GVO abschließend geregelt ist.
Dieser Begriff ist nämlich nur relevant, um die Höhe einer Geldbuße zu bestimmen, die gemäß Art. 83 Abs. 4 bis 6 DS-GVO gegen einen Verantwortlichen verhängt wird.
Wie der Generalanwalt in Nr. 45 seiner Schlussanträge ausgeführt hat, ist der Verweis im 150. Erwägungsgrund der DS-GVO auf den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV in diesem speziellen Zusammenhang der Berechnung von Geldbußen, die für in Art. 83 Abs. 4 bis 6 DS-GVO genannte Verstöße verhängt werden, zu verstehen.
Dieser Unternehmensbegriff umfasst für die Zwecke der Anwendung der in den Art. 101 und 102 AEUV niedergelegten Wettbewerbsregeln jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht. Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt (Urteil vom 6. Oktober 2021, Sumal, C 882/19, EU:C:2021:800, Rn. 41 und die dort angeführte Rechtsprechung).
So ergibt sich aus Art. 83 Abs. 4 bis 6 DS-GVO, der die Berechnung der Geldbußen für die in diesen Absätzen aufgeführten Verstöße betrifft, dass, wenn der Adressat der Geldbuße ein Unternehmen im Sinne der Art. 101 und 102 AEUV ist oder einem solchen angehört, der Höchstbetrag für die Geldbuße auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des betreffenden Unternehmens berechnet wird.
Letztlich kann, wie der Generalanwalt in Nr. 47 seiner Schlussanträge ausgeführt hat, nur eine Geldbuße, deren Höhe anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Adressaten von der Aufsichtsbehörde unter Zugrundelegung des Begriffs der wirtschaftlichen Einheit im Sinne der in Rn. 56 des vorliegenden Urteils angeführten Rechtsprechung festgesetzt wird, die drei in Art. 83 Abs. 1 DS-GVO genannten Voraussetzungen erfüllen, sowohl wirksam und verhältnismäßig als auch abschreckend zu sein.
Daher ist eine Aufsichtsbehörde, wenn sie aufgrund ihrer Befugnisse nach Art. 58 Abs. 2 DS-GVO beschließt, gegen einen Verantwortlichen, der ein Unternehmen im Sinne der Art. 101 und 102 AEUV ist oder einem solchen angehört, eine Geldbuße gemäß Art. 83 DS-GVO zu verhängen, nach Art. 83 im Licht des 150. Erwägungsgrundes der DS-GVO verpflichtet, bei der Berechnung der Geldbußen für die in Art. 83 Abs. 4 bis 6 DS-GVO genannten Verstöße den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV zugrunde zu legen.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 58 Abs. 2 Buchst. i) und Art. 83 Abs. 1 bis 6 DS-GVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DS-GVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Zur zweiten Frage:
Mit seiner zweiten Frage, die für den Fall gestellt wird, dass die erste Frage bejaht wird, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 83 DS-GVO dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DS-GVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Insoweit ist darauf hinzuweisen, dass nach Art. 83 Abs. 1 DS-GVO Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Dagegen enthält Art. 83 DS-GVO keine ausdrückliche Klarstellung, dass die in seinen Abs. 4 bis 6 genannten Verstöße nur dann mit einer solchen Geldbuße geahndet werden können, wenn sie vorsätzlich oder zumindest fahrlässig begangen wurden.
Die deutsche, die estnische und die norwegische Regierung sowie der Rat der Europäischen Union leiten daraus u.a. ab, dass der Unionsgesetzgeber den Mitgliedstaaten bei der Umsetzung von Art. 83 DS-GVO einen gewissen Ermessensspielraum lassen wollte, der es ihnen ermöglicht, gegebenenfalls die Verhängung von Geldbußen nach dieser Bestimmung vorzusehen, ohne dass der Nachweis erbracht wurde, dass der mit dieser Geldbuße geahndete Verstoß gegen die DS-GVO vorsätzlich oder fahrlässig begangen wurde.
Einer solchen Auslegung von Art. 83 DS-GVO kann nicht gefolgt werden.
Wie in den Rn. 45 und 48 des vorliegenden Urteils ausgeführt, gilt für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht. Diese Voraussetzungen sind in Art. 83 Abs. 1 bis 6 DS-GVO genau festgelegt und lassen den Mitgliedstaaten keinen Ermessensspielraum (vgl. auch Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C 683/21, EU:C:2023:XXX, Rn. 64 bis 70).
Zu diesen Voraussetzungen ist festzustellen, dass Art. 83 Abs. 2 DS-GVO die Kriterien anführt, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Kriterien gehört nach Buchst. b) dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Dagegen deutet keines der in der genannten Bestimmung aufgeführten Kriterien auf eine Möglichkeit hin, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen.
Zudem ist der zweite Absatz von Art. 83 DS-GVO in Verbindung mit seinem dritten Absatz zu lesen, der bestimmt, welche Folgen bei der Kumulierung von Verstößen gegen die DS-GVO eintreten, und wie folgt lautet: „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.“
Aus dem Wortlaut von Art. 83 Abs. 2 DS-GVO ergibt sich somit, dass nur Verstöße gegen die Bestimmungen der DS-GVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig, begeht, zur Verhängung einer Geldbuße gegen ihn nach diesem Artikel führen können.
Die allgemeine Systematik und der Zweck der DS-GVO bestätigen diese Lesart.
Zum einen hat der Unionsgesetzgeber ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, je nach den Umständen des Einzelfalls die geeignetste Sanktion zu verhängen.
Art. 58 Abs. 2 Buchst. i) der DS-GVO bestimmt nämlich, dass die Aufsichtsbehörden befugt sind, eine Geldbuße gemäß Art. 83 DS-GVO „zusätzlich zu oder anstelle von“ anderen in Art. 58 Abs. 2 genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Ebenso heißt es im 148. Erwägungsgrund dieser Verordnung u.a., dass es den Aufsichtsbehörden gestattet ist, im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen.
Zum anderen haben die Bestimmungen der DS-GVO, wie in Rn. 50 des vorliegenden Urteils ausgeführt, u.a. die Ziele, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. Zur Sicherstellung einer einheitlichen Anwendung der DS-GVO müssen die Aufsichtsbehörden zudem über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten verfügen, so dass sie im Fall von Verstößen gegen die DS-GVO die gleichen Sanktionen verhängen können.
Ein Sanktionssystem, das es ermöglicht, eine Geldbuße gemäß Art. 83 DS-GVO zu verhängen, wenn die besonderen Umstände des Einzelfalls dies rechtfertigen, schafft für Verantwortliche und Auftragsverarbeiter einen Anreiz, der DS-GVO nachzukommen. Geldbußen tragen durch ihre abschreckende Wirkung zu einem stärkeren Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bei. Sie sind daher ein Schlüsselelement, um die Wahrung der Rechte dieser Personen zu gewährleisten, und stehen im Einklang mit dem Ziel der DS-GVO, ein hohes Schutzniveau für solche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Der Unionsgesetzgeber hat es jedoch nicht für erforderlich gehalten, zur Gewährleistung eines solchen hohen Schutzniveaus vorzusehen, dass Geldbußen verschuldensunabhängig verhängt werden. In Anbetracht dessen, dass die DS-GVO auf ein gleichwertiges und einheitliches Schutzniveau abzielt und hierfür in der gesamten Union gleichmäßig angewandt werden muss, liefe es diesem Ziel zuwider, den Mitgliedstaaten zu gestatten, eine solche Regelung für die Verhängung einer Geldbuße nach Art. 83 DS-GVO vorzusehen. Eine solche Wahlfreiheit wäre zudem geeignet, den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen, was den vom Unionsgesetzgeber u.a. in den Erwägungsgründen 9 und 13 der DS-GVO dargestellten Zielen zuwiderliefe.
Demnach ist festzustellen, dass Art. 83 DS-GVO es nicht gestattet, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 genannten Verstoßes zu verhängen, ohne dass nachgewiesen ist, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist Voraussetzung für die Verhängung einer solchen Geldbuße, dass der Verstoß schuldhaft begangen wurde.
Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DS-GVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DS-GVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DS-GVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker & Co. u.a., C 681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C 591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C 601/16 P, EU:C:2021:244, Rn. 97).
Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DS-GVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. entsprechend Urteile vom 7. Juni 1983, Musique Diffusion française u.a./Kommission, 100/80 bis 103/80, EU:C:1983:158, Rn. 97, und vom 16. Februar 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Kommission, C 94/15 P, EU:C:2017:124, Rn. 28 sowie die dort angeführte Rechtsprechung).
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 83 DS-GVO dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DS-GVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Zur Vertiefung:
Schwartmann/Burkhardt, Rechts- oder Funktionsträgerprinzip? Unternehmenshaftung nach der Datenschutz-Grundverordnung auf dem rechtlichen Prüfstand= RDV 5/2022