Latham & Watkins erringt wichtigen Sieg vor EuGH zu Datenschutzbußgeldern
Am 5. Dezember 2023 hat der Europäische Gerichtshof (EuGH) in einem Verfahren gegen eine deutsche Latham-Mandantin ein grundlegendes Urteil gefällt. Die Richter entschieden, dass Datenschutzbehörden Geldbußen gegen Unternehmen nur dann verhängen können, wenn sie schuldhafte Verstöße nachweisen. Das vorliegende Verfahren geht auf einen Bescheid der Berliner Datenschutzbehörde aus dem Jahr 2019 zurück. Es betrifft wichtige Fragen zu den Voraussetzungen der Verhängung von DSGVO-Bußgeldern auf nationaler und internationaler Ebene.
„Ich freue mich, dass der EuGH den Argumenten aus unserem Plädoyer zur Unzulässigkeit einer verschuldensunabhängigen Haftung folgt, so Tim Wybitul, Partner im Bereich Datenschutz bei Latham & Watkins in Frankfurt. „Auch die deutsche Bundesregierung hatte sich in dem Verfahren klar gegen diese Forderung der Datenschutzbehörden ausgesprochen. Im bisherigen Verfahren hatten weder das Landgericht Berlin noch das Kammergericht einen Verstoß oder ein schuldhaftes Handeln eines Mitarbeiters des Unternehmens festgestellt. Das Landgericht Berlin hatte festgestellt, dass der Bußgeldbescheid nicht die gesetzlich geforderten Feststellungen zu einer schuldhaften Tat enthielt. Die Entscheidung bestätigt, dass auch die Datenschutzbehörden an Rechtstaats- und Schuldprinzip gebunden sind. Daher können sie Unternehmen nicht ohne den Nachweis eines schuldhaften Verhaltens sanktionieren. Der Ball liegt jetzt wieder bei den nationalen Gerichten, die die Vorgaben des EuGH hoffentlich sorgsam und mit Augenmaß umsetzen.“
Wenn Datenschutzbehörden Bußgelder nach der EU Datenschutz-Grundverordnung (DSGVO) direkt gegen Unternehmen verhängen, setzt dies nach dem Urteil des EuGH den Nachweis eines vorsätzlichen oder fahrlässigen Handelns eines Mitarbeiters voraus, der im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelt. Einen solchen Nachweis hatte die zuständige Behörde aber gerade nicht erbracht, da sie von einer vermeintlichen „strict liability“ ausging. Dementsprechend fühlte sich die Behörde nicht an deutsche das Gesetz über Ordnungswidrigkeiten (OWiG) gebunden. Insbesondere enthielt der Bußgeldbescheid nicht die nach § 66 OWiG nötigen Feststellungen zu einer vorgeworfenen schuldhaften Tat. Das hatte das Landgericht Berlin beanstandet und das Verfahren gegen die Latham-Mandantin eingestellt. Gegen diese Entscheidung legte die Staatsanwaltschaft eine sofortige Beschwerde zum Kammergericht Berlin ein. Daraufhin legte das Kammergericht diese Frage dem EuGH vor.
Die deutschen Datenschutzbehörden wollten Geldbußen gegen Unternehmen für Vorwürfe wegen möglichen Datenschutzverstößen unabhängig vom Nachweis einer Aufsichtspflichtverletzung oder eines sonstigen vorwerfbaren Verhaltens verhängen. Nach dem OWiG können die Behörden hingegen nur dann Bußgelder gegen Unternehmen verhängen, wenn sie ein vorwerfbares Handeln beziehungsweise eine Aufsichtspflichtverletzung der Unternehmensleitung oder sonstiger gesetzlicher Vertreter nachweisen. In der Praxis ist eine unzureichende Überwachung durch den Vorstand oder die Geschäftsführung oft ein Anknüpfungspunkt für solche Verfahren. Der EuGH bestätigte nun, dass die Verhängung eines DSGVO-Bußgelds den Nachweis eines schuldhaften Verhaltens eines Mitarbeiters des Unternehmens voraussetzt.
Latham hat mit folgendem Team beraten:
Tim Wybitul (Partner, Datenschutz, Frankfurt), Prof. Dr. Sven Völcker (Partner, Regulatory, Brüssel), Dr. Isabelle Brams, Clemens Ganz, Jonas Kraus (alle Associate, alle Datenschutz, Frankfurt).