Nachdem der EuGH am 05.12.2023 sein Grundsatzurteil zur Verbandshaftung gefällt hatte, folgte nunmehr die Entscheidung über den Bußgeldbescheid im Verfahren Deutsche Wohnen SE. Selten habe ich in einer gerichtlichen Entscheidung mit solcher Klarheit lesen dürfen, was das Gericht von den Argumenten der Verteidigung hält – nämlich nichts! Und das Kammergericht gab dem Landgericht auch gleich in verfahrenstechnischer Sicht mit auf den Weg – es muss eine andere Kammer den Vorgang zuende führen.

Was war geschehen?

Der Deutsche Wohnen SE wurde seitens der Berliner Datenschutzaufsichtsbehörde ein Bußgeldbescheid zugestellt (30.10.2019 – Pressemitteilung BlnBDI (PDF)). Nach deutschen Maßstäben ein Rekordbußgeld in Höhe von rund 14,5 Millionen EUR. Diesen griff das Unternehmen an und erhielt mit seiner Argumentation vor dem Landgericht Berlin – überraschender Weise – Recht. Es sei keine handelnde Person bezeichnet und überführt und eine abstrakte Unternehmensverantwortlichkeit sehe das deutsche Ordnungswidrigkeitenrecht nicht vor.

Dieser Bewertung erteilte der EuGH mit seiner Entscheidung vom 05.12.2023 – Az. C-807/21 (hier online via EUR-LEX) eine klare Abfuhr (vgl. unseren Beitrag).

Offen bleibt natürlich nunmehr die Beantwortung der Frage, wie sich die Entscheidung des EuGH – der nicht in der Sache entscheidet, sondern zugrunde liegende europarechtliche Fragen beantwortet – auf das konkrete Verfahren auswirkt.

Und diese Frage hat das Kammergericht Berlin nunmehr deutlich und mit ungewöhnlich klaren Worten beantwortet (Urteil vom 22.01.2024).

1. Nach der Rechtsprechung des EuGH (Urteil vom 5. Dezember 2023 [C-807/21]) können die in Art. 83 DSG-VO vorgesehenen Geldbußen unmittelbar gegen juristische Personen verhängt werden, wenn diese als für die Datenverarbeitung Verantwortliche einzustufen sind.
2. Hiernach erfordert eine Verbandshaftung weder das Verschulden eines Repräsentanten (§ 30 OWiG) noch eine Aufsichtspflichtverletzung (§ 130 OWiG). Vielmehr sind Unternehmen im Deliktsbereich der DSG-VO per se schuldfähig.
3. Die vom EuGH für den Bereich der DSG-VO entwickelten sachlich-rechtlichen Grundzüge der Verbandsgeldbuße überformen, prägen und gestalten auch das diesbezügliche nationale Verfahrensrecht (hier § 66 OWiG).
4. Der Bußgeldbescheid muss die natürliche Person, der eine Pflichtverletzung ggf. zur Last fällt, nicht bezeichnen.

Vorgaben des Kammergerichts

Im Ergebnis wurde die Bewertung des Landgerichts aufgehoben, der Beschwerde der Staatsanwaltschaft (für die Datenschutzaufsichtsbehörde) stattgegeben und das Verfahren zurück verwiesen. D.h. das Landgericht muss das Verfahren fortsetzen und über den Einspruch gegen den Bußgeldbescheid in der Sache entscheiden.

Allerdings mit der Maßgabe, dass eine andere Kammer beim Landgericht zuständig sei, also tatsächlich nunmehr eine andere Richterbesetzung über den Abschluss des Verfahrens gegen den Bußgeldbescheid zu entscheiden hat – so das KG Berlin.

Und besonders deutlich wählte das Kammergericht auch schon für die Entscheidung in der Sache selbst seine Worte zur Einschätzung der Lage.

Die Bebußung erfordere nicht, dass ein „Verstoß von einer identifizierten natürlichen Person begangen wurde“. Aufgrund der europarechtlichen Auslegung der deutschen Gesetze sei es auch nicht erforderlich, eine verantwortliche natürliche Person zu benennen (auch nicht aus § 66 OWiG).

Insoweit komme es also auf die Verletzung des Datenschutzrechtes in bzw. aus der Organisation des in Anspruch genommenen Verbandes an.

„(…) so stellt er [der EuGH] klar, dass juristische Personen dafür verantwortlich sind, dass Daten im Rahmen ihrer unternehmerischen Tätigkeit rechtmäßig verarbeitet werden (..). Sanktioniert wird hiernach nicht (nur) eine fehlerhafte Organisation, sondern gerade die Pflichtverletzung des Verbands bzw. im Verband, als „genuine Verbandstat“

Und dazu erachtet das Kammergericht die Ausführungen der Berliner Datenschutzaufsichtsbehörde zur Detailliertheit der Vorwürfe auf mehr als 17 Seiten,

„ausdifferenziert und nachgerade ziseliert“ für „ausgesprochen konkret und ausführlich“.

Natürlich bleibt nunmehr die abschließende Bewertung der nunmehr zuständigen Bußgeldkammer des Landgerichts Berlin abzuwarten.

Aber die Vorgaben „seines Beschwerdegerichts“ wird die Kammer wohl kaum überlesen, sondern diese im Zweifel zur Grundlage auch seiner Bewertung machen.

Konsequenzen dieses Verfahrens? Weitreichend!

Im Prinzip hat das Kammergericht auch zu den Folgen dieses Verfahrens für sämtliche künfte Bußgeldverfahren auf Grundlage der DSGVO klar und deutlich die sich ergebenden Folgen schon selbst formuliert. Und das ist höchst selten und daher um so anerkennenswerter für Deutsche Gerichte:

„Damit fallen alle Personen, die im Rahmen der unternehmerischen Tätigkeit handeln, in den abstrakten Verantwortungskreis der juristischen Person, und selbst eine normentsprechende Organisation führt – jedenfalls in aller Regel – nicht zur Exkulpation.“

Unter Anwendung des Effektivitätsgrundsatzes des europäischen Rechts hilft im Datenschutzrecht also die immer wieder gerne gewählte Methode der Delegation von Tätigkeiten nicht weiter, um sich einer möglichen Bußgeldhaftung zu entziehen.

Das Datenschutz-Compliance-Management muss deutlich strengere Maßstäbe anlegen, will eine Geschäftsleitung und ein Vorstand seine Haftungsrisiken limitieren. Das wird eine organisatorische Herausforderung, die all zu häufig noch gar nicht in der Unternehmenspraxis angekommen ist.

Nicht umsonst gilt der zweifellos profane, aber nicht weniger ernst zu nehmende Satz auch hier: Die digitale Transformation steckt noch in ihren Kinderschuhen.