R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
Wirtschaftsrecht
03.05.2023
Wirtschaftsrecht
EuGH-Schlussanträge: DSGVO-Geldbuße gegen Unternehmen – Zurechnung von Mitarbeiter-Verstößen

GA Campos Sánchez-Bordona, Schlussanträge vom 27.4.2023 – C-807/21; Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin

ECLI:EU:C:2023:360

Volltext: BB-Online BBL2023-1025-3

Schlussanträge

Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung ist dahin auszulegen, dass die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.

Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.

 

Aus den Gründen

1.        Das vorliegende Vorabentscheidungsersuchen gibt dem Gerichtshof Gelegenheit, sich zu den Voraussetzungen zu äußern, unter denen wegen eines Verstoßes gegen die Verordnung (EU) 2016/679(2) eine Geldbuße gegen eine juristische Person verhängt werden kann.

2.        Insbesondere geht es darum, zu klären:

—      ob gegen die juristische Person eine Sanktion verhängt werden kann, ohne dass zuvor die Verantwortlichkeit einer natürlichen Person festgestellt zu werden braucht;

—      ob der geahndete Verstoß in jedem Fall vorsätzlich oder fahrlässig begangen worden sein muss oder ob ein rein objektiver Verstoß gegen eine Verpflichtung genügt.

I.      Rechtlicher Rahmen

A.      Unionsrecht. DSGVO

3.        Der 74. Erwägungsgrund lautet:

„Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.“

4.        Im 150. Erwägungsgrund heißt es:

„Um die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind. Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne der Artikel 101 und 102 AEUV verstanden werden. … Das Kohärenzverfahren kann auch genutzt werden, um eine kohärente Anwendung von Geldbußen zu fördern. …“

5.        Art. 4 („Begriffsbestimmungen“) bestimmt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

7.      ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.      ‚Auftragsverarbeiter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

18.      ‚Unternehmen‘ eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

…“.

6.        Art. 58 („Befugnisse“) Abs. 2 sieht vor:

„Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

a)      einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,

b)      einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,

c)      den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

d)      den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,

i)      eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

…“.

7.        Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) lautet:

„(1)      Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2)      Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a)      Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b)      Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c)      jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d)      Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e)      etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f)      Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g)      Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h)      Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i)      Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j)      Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k)      jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3)      Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(4)      Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: …

(5)      Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

(6)      Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

(8)      Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.

…“.

B.      Nationales Recht. Ordnungswidrigkeitengesetz(3)

8.        Nach § 9 Abs. 1 ist, wenn jemand als a) vertretungsberechtigtes Organ einer juristischen Person (oder als Mitglied eines solchen Organs), b) vertretungsberechtigter Gesellschafter einer rechtsfähigen Personengesellschaft oder c) gesetzlicher Vertreter eines anderen handelt, auf diese Person ein Gesetz anwendbar, nach dem besondere persönliche Eigenschaften, Verhältnisse oder Umstände die Möglichkeit der Ahndung begründen, wenn diese Merkmale zwar nicht bei ihr, aber bei dem Vertretenen vorliegen.

9.        Nach § 9 Abs. 2 gilt dies auch für den Inhaber eines Betriebs (Unternehmen), der eine andere Person beauftragt, den Betrieb ganz oder zum Teil zu leiten oder in eigener Verantwortung Aufgaben wahrzunehmen, die dem Inhaber des Betriebs obliegen.

10.      § 30 Abs. 1 sieht vor, dass gegen eine juristische Person eine Geldbuße festgesetzt werden kann, wenn die natürliche Person, die sie vertritt, leitet oder für ihre Leitung verantwortlich ist, eine Straftat begangen oder Pflichten verletzt hat, die die juristische Person treffen.

11.      Nach § 30 Abs. 4 setzt die selbstständige Festsetzung einer Geldbuße gegen eine juristische Person voraus, dass wegen der Straftat oder Ordnungswidrigkeit ein Straf- oder Bußgeldverfahren gegen das Mitglied eines Organs oder den Vertreter der juristischen Person nicht eingeleitet oder dass dieses eingestellt oder von Strafe abgesehen wird.

12.      § 130 Abs. 1 bestimmt, dass jemand, der als Inhaber eines Betriebs oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, ordnungswidrig handelt, wenn eine solche Zuwiderhandlung begangen wird, die durch angemessene Aufsichtsmaßnahmen – zu denen die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen gehört – verhindert oder wesentlich erschwert worden wäre.

II.    Sachverhalt, Rechtsstreit und Vorlagefragen

13.      Die Deutsche Wohnen SE (im Folgenden: Deutsche Wohnen) ist ein börsennotiertes Immobilienunternehmen mit Sitz in Berlin (Deutschland). Sie hält über Beteiligungen mittelbar rund 163 000 Wohneinheiten und 3 000 Gewerbeeinheiten.

14.      Eigentümer dieser Immobilien sind mit Deutsche Wohnen verbundene Tochtergesellschaften (im Folgenden: Besitzgesellschaften), die das operative Geschäft führen, während Deutsche Wohnen die übergeordnete Leitung des Konzerns wahrnimmt. Die Besitzgesellschaften vermieten die Wohn- und Gewerbeeinheiten, die von anderen Konzerngesellschaften, so genannten Servicegesellschaften, verwaltet werden.

15.      Im Rahmen ihrer Geschäftstätigkeit verarbeiten Deutsche Wohnen und die Konzerngesellschaften die personenbezogenen Daten der Mieter der Immobilien. Bei diesen Daten handelt es sich u. a. um Identitätsnachweise, Steuer‑, Sozial- und Krankenversicherungsdaten sowie Angaben zu Vormietverhältnissen.

16.      Am 23. Juni 2017 wies die Berliner Beauftragte für den Datenschutz (im Folgenden: Datenschutzbehörde) Deutsche Wohnen im Rahmen einer Vor-Ort-Kontrolle darauf hin, dass ihre Konzerngesellschaften personenbezogene Daten von Mietern in einem elektronischen Archivsystem speicherten, bei dem nicht nachvollzogen werden könne, ob die Speicherung erforderlich und gewährleistet sei, dass nicht mehr erforderliche Daten gelöscht würden.

17.      Die Datenschutzbehörde forderte Deutsche Wohnen in der Folge auf, bis zum Jahresende 2017 bestimmte Dokumente aus dem elektronischen Archivsystem zu löschen.

18.      Deutsche Wohnen lehnte dies mit dem Hinweis ab, die Löschung sei aus technischen und rechtlichen Gründen nicht möglich. Dieser Einwand wurde bei einem Treffen von Deutsche Wohnen und der Datenschutzbehörde erörtert, bei dem Letztere darauf hinwies, dass es technische Lösungen für die Löschung der Daten gebe. Die Gespräche wurden fortgesetzt und Deutsche Wohnen kündigte an, dass sie erwäge, ein neues System anstelle des von der Datenschutzbehörde abgelehnten Systems einzuführen.

19.      Am 5. März 2020 nahm die Datenschutzbehörde eine Prüfung in der Konzernzentrale des Unternehmens vor, bei der insgesamt 16 Stichproben aus dem Datenbestand entnommen wurden. Gleichzeitig teilte Deutsche Wohnen der Behörde mit, dass das beanstandete Archivsystem bereits außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue System unmittelbar bevorstehe.

20.      Am 30. Oktober 2020 erließ die Datenschutzbehörde gegen Deutsche Wohnen einen Bußgeldbescheid wegen folgender Verstöße:

—      Sie habe es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder in sonstiger Weise zu Unrecht gespeicherter Daten von Mietern zu treffen.

—      Sie habe personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert, obgleich bekannt gewesen sei, dass dies nicht oder nicht mehr erforderlich gewesen sei.

21.      Die Geldbußen beliefen sich auf 14 385 000 Euro wegen vorsätzlicher Verstöße gegen Art. 25 Abs. 1 und Art. 5 Abs. 1 Buchst. a, c und e DSGVO sowie auf jeweils zwischen 3 000 und 17 000 Euro für die 15 Verstöße gegen Art. 6 Abs. 1 DSGVO.

22.      Deutsche Wohnen erhob gegen die Sanktionen Klage beim Landgericht Berlin (Deutschland), das der Klage stattgab.

23.      Die Staatsanwaltschaft Berlin (Deutschland) focht die erstinstanzliche Entscheidung vor dem Kammergericht Berlin (Deutschland) an, das dem Gerichtshof folgende Fragen zur Vorabentscheidung vorlegt:

1.      Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass er den den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?

2.      Falls die erste Frage bejaht wird: Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss [vgl. Art. 23 der Verordnung (EG) Nr. 1/2003](4), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

III. Verfahren vor dem Gerichtshof

24.      Das Vorabentscheidungsersuchen ist am 23. Dezember 2021 bei der Kanzlei des Gerichtshofs eingegangen.

25.      Deutsche Wohnen, die deutsche, die estnische und die norwegische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht.

26.      Am 9. November 2022 hat der Gerichtshof das vorlegende Gericht gemäß Art. 101 Abs. 1 der Verfahrensordnung aufgefordert, Folgendes klarzustellen:

—      den etwaigen Einfluss von § 130 OWiG auf die erste Vorlagefrage;

—      die Gründe, aus denen es eine Antwort auf die zweite Vorlagefrage für erforderlich hält, da nach dem Vorlagebeschluss die Sanktionen wegen eines vorsätzlichen Verstoßes gegen mehrere Bestimmungen der DSGVO verhängt wurden.

27.      Die betreffenden Klarstellungen sind am 11. Januar 2023 beim Gerichtshof eingegangen.

28.      An der mündlichen Verhandlung vom 17. Januar 2023 haben neben den Beteiligten, die schriftliche Erklärungen eingereicht haben, auch die niederländische Regierung, das Europäische Parlament und der Rat der Europäischen Union teilgenommen.

IV.    Würdigung

A.      Erste Vorlagefrage

1.      Vorbemerkungen

29.      Die erste Frage des vorlegenden Gerichts geht zusammenfassend dahin, ob nach dem Unionsrecht eine Sanktion gegen eine juristische Person wegen eines Verstoßes gegen die DSGVO verhängt werden kann, ohne dass dieser Verstoß zuvor einer natürlichen Person zugerechnet werden muss.

30.      Das vorlegende Gericht hat jedoch in seiner Frage mehrere komplexe Gesichtspunkte angesprochen:

—      Es nennt Art. 83 Abs. 4 bis 6 DSGVO als die Regelung, durch deren Auslegung seine Frage beantwortet werden kann.

—      Es verweist auf „den [den] Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip“.

31.      Das vorlegende Gericht führt aus, nach innerstaatlichem Recht könne gegen ein Unternehmen nur dann eine Geldbuße festgesetzt werden, wenn ihm bestimmte, (nur) von seinen als Repräsentanten bezeichneten Leitungspersonen begangene Verstöße zugerechnet werden könnten(5).

32.      Deutsche Wohnen und die deutsche Regierung treten dieser Auffassung entgegen. Ihrer Ansicht nach ist § 30 OWiG in Verbindung mit den §§ 9 und 130 OWiG auszulegen, mit denen er ein kohärentes Sanktionssystem bilde. Nach diesem System könnten Verwaltungssanktionen gegen ein Unternehmen verhängt werden, ohne dass ein Verfahren gegen die natürliche Person eingeleitet werden müsse, die für das Unternehmen gehandelt habe(6).

33.      Auf die Aufforderung des Gerichtshofs, sich zum möglichen Einfluss von § 130 OWiG zu äußern, hat das vorlegende Gericht geantwortet, dass diese Bestimmung für die erste Vorlagefrage nicht erheblich sei. Zur Begründung seiner Auffassung führt es aus:

—      Zwar ermögliche diese Bestimmung neben §§ 9, 30 OWiG die Verhängung von Bußgeldern gegen Unternehmen, aber der durch § 130 OWiG erreichbare Schutz von Rechtsgütern sei gegenüber dem aus Art. 101 und 102 AEUV abgeleiteten Haftungsregime deutlich eingeschränkt.

—      Normadressat des § 130 OWiG sei der Inhaber eines Unternehmens, der eine Aufsichtspflicht verletzt habe. Der Nachweis der dem Unternehmensinhaber zur Last fallenden Pflichtverletzung reiche über die Feststellung einer aus dem Unternehmen heraus begangenen Rechtsgutsverletzung signifikant hinaus. Dieser Nachweis erfordere die Ermittlung und Aufklärung betriebsinterner Strukturen und (genereller wie singulärer) Abläufe, die nicht nur im Einzelfall und jedenfalls im Falle von Konzernen überaus komplex und häufig unmöglich seien. In diesem Zusammenhang sei bereits umstritten, ob und inwieweit Konzerne überhaupt als Unternehmen bzw. als Unternehmensinhaber im Sinne des § 130 OWiG eingestuft werden könnten.

34.      Diese Klarstellungen machen deutlich, dass die erste Vorlagefrage des vorlegenden Gerichts einem Verständnis des nationalen Rechts entspricht, das entgegen der Auffassung der deutschen Regierung eine wegen ihrer Merkmale möglicherweise mit dem Unionsrecht unvereinbare Haftungsregelung für juristische Personen vorsieht.

35.      Der Gerichtshof hat sich an den vom vorlegenden Gericht beschriebenen nationalen rechtlichen Rahmen zu halten(7), denn dieses Gericht ist das zur Auslegung seines innerstaatlichen Rechts befugte Organ. Die Fragen des nationalen Gerichts zur Auslegung des Unionsrechts sind in dem rechtlichen und sachlichen Rahmen zu beantworten, den es in eigener Verantwortung festlegt und dessen Richtigkeit der Gerichtshof nicht zu prüfen hat(8).

36.      Auf der Grundlage dieser Prämissen werde ich daher mit der Prüfung der ersten Vorlagefrage beginnen.

2.      Juristische Personen als Adressaten einer Sanktion nach der DSGVO

37.      Im Unionsrecht spricht nichts dagegen, Deutsche Wohnen als Täterin und als Schuldnerin der verhängten Sanktion anzusehen. Diese Möglichkeit findet sich abstrakt in der DSGVO und im vorliegenden Fall wurde konkret davon Gebrauch gemacht:

—      Abstrakt ist, wie ich im Folgenden darlegen werde, die Möglichkeit, wegen eines Verstoßes im Bereich des Datenschutzes eine Sanktion unmittelbar gegen eine juristische Person zu verhängen, nicht nur in mehreren Bestimmungen der DSGVO vorgesehen, sondern stellt sogar einen der Schlüsselmechanismen dar, um die Wirksamkeit dieser Verordnung zu gewährleisten.

—      Konkret wurde die streitgegenständliche Geldbuße nach den Angaben im Vorlagebeschluss gegen Deutsche Wohnen wegen einer Reihe von Verstößen gegen die DSGVO verhängt, die dieser Gesellschaft als dem für die Datenverarbeitung Verantwortlichen(9) zugerechnet wurden. An sie richtete sich das Ersuchen der Datenschutzbehörde, das sie in der bereits dargestellten Weise beantwortete, um letztlich das von dieser Behörde beanstandete Handeln fortzusetzen. Probleme bei der Ermittlung des Adressaten der Sanktion gab es daher nicht(10).

38.      Was den abstrakten Ansatz betrifft, sind keine umfangreichen Ausführungen erforderlich, um das Postulat zu begründen, dass wegen eines Verstoßes gegen die DSGVO Sanktionen unmittelbar gegen eine juristische Person als Täterin verhängt werden können. Dieses Postulat ergibt sich ohne Auslegungsschwierigkeiten aus dem Wortlaut der Art. 4, 58 und 83 DSGVO:

—      In den Definitionen des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters in Art. 4 wird ausdrücklich darauf verwiesen, dass es sich um juristische Personen handeln kann(11).

—      In Art. 58 Abs. 2 werden den Aufsichtsbehörden eine Reihe von „Abhilfebefugnissen“ gegenüber den Verantwortlichen oder Auftragsverarbeitern (d. h. auch gegenüber juristischen Personen) eingeräumt. Zu diesen Abhilfebefugnissen gehört die Verhängung einer „Geldbuße“ (Buchst. i).

—      In der Aufzählung der Kriterien für die Festsetzung der Geldbußen in Art. 83 DSGVO finden sich Faktoren, die ohne Weiteres im Rahmen des Handelns juristischer Personen erfüllt sein können.

39.      Aus dem Zusammenspiel dieser Bestimmungen ergibt sich ganz selbstverständlich, dass nach der DSGVO unmittelbarer Adressat der Geldbußen, die wegen eines Verstoßes gegen diese Verordnung verhängt werden, eine juristische Person sein kann(12). Angesichts dieser Selbstverständlichkeit haben die in diesem Bereich zuständigen nationalen Behörden keine Bedenken gehabt, Geldbußen in teilweise erheblicher Höhe gegen juristische Personen zu verhängen, die gegen die DSGVO verstoßen haben(13).

40.      Was den konkreten Ansatz anbelangt, so erinnere ich daran, dass sich die Datenschutzbehörde an Deutsche Wohnen in ihrer Eigenschaft als für die Datenverarbeitung Verantwortliche wandte und ihr aufgab, bestimmte personenbezogene Daten der Mieter aus ihren Dateien zu löschen, was dieses Unternehmen über einen bestimmten Zeitraum nicht tat, bis es seine Speichersysteme geändert hatte.

3.      Erforderlichkeit, den Verstoß zuerst einer natürlichen Person zuzurechnen?

41.      Nach Ansicht des vorlegenden Gerichts verlangt das nationale Recht, um eine Sanktion wegen eines Verstoßes gegen die DSGVO unmittelbar gegen ein Unternehmen verhängen zu können, dass zuvor die Verantwortlichkeit einer natürlichen Person festgestellt werden muss. Dies ergebe sich aus § 30 OWiG: Eine Geldbuße könne nur dann gegen ein Unternehmen verhängt werden, wenn ihm bestimmte Ordnungswidrigkeiten seiner als Repräsentanten bezeichneten Leitungspersonen zugerechnet werden könnten; dabei müsse der Repräsentant tatbestandlich, rechtswidrig und schuldhaft gegen die betreffende Norm verstoßen haben(14).

42.      Zu den Einwänden der deutschen Regierung, die der Auslegung des vorlegenden Gerichts unter Berufung auf § 130 OWiG entgegentritt, äußert sich dieses Gericht in seiner Antwort an den Gerichtshof mit den von mir bereits wiedergegebenen Worten(15). Zusammenfassend gibt es an, der durch diese Bestimmung erreichbare Schutz von Rechtsgütern sei gegenüber dem aus Art. 101 und 102 AEUV abgeleiteten Haftungsregime deutlich eingeschränkt.

43.      Die vom vorlegenden Gericht dargestellte Regel, dass zuerst die Haftung der natürlichen Person festgestellt werden müsse, gelte jedoch nicht, wenn sich Art. 83 Abs. 4 bis 6 DSGVO den den Art. 101 und 102 AEUV zugeordneten „funktionalen Unternehmensbegriff“ zu eigen mache und ihn in das nationale Recht inkorporiere.

a)      Einfluss des in den Art. 101 und 102 AEUV verwendeten Begriffs

44.      Gegenstand von Art. 83 Abs. 4 bis 6 DSGVO ist die Berechnung der Höhe der Sanktionen für die darin genannten Verstöße gegen die DSGVO. Insbesondere sehen diese drei Absätze die Möglichkeit vor, dass die Sanktion sich gegen ein „Unternehmen“ richtet.

45.      In diesem Zusammenhang ist der Verweis im 150. Erwägungsgrund der DSGVO auf den Begriff des Unternehmens im Sinne der Art. 101 und 102 AEUV zu verstehen. Ich möchte daran erinnern, dass der Gerichtshof festgestellt hat, dass „das Wettbewerbsrecht der Union die Tätigkeit von Unternehmen [betrifft]; der Begriff des Unternehmens umfasst jede eine wirtschaftliche Tätigkeit ausübende Einrichtung unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“(16).

46.      Soweit als Höchstbetrag für Sanktionen wegen eines Verstoßes gegen die DSGVO für die Unternehmen, die für die Datenverarbeitung Verantwortlicher oder Auftragsverarbeiter sind, ein Prozentsatz des „gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ festgelegt ist, muss als Bezugsgröße für die Festsetzung dieses Betrags nicht die formelle Rechtspersönlichkeit einer Gesellschaft, sondern die „wirtschaftliche Einheit“ im oben genannten Sinne dienen.

47.      Denn nach Art. 83 Abs. 1 DSGVO müssen die in Abs. 4 bis 6 dieses Artikels vorgesehenen Geldbußen „wirksam, verhältnismäßig und abschreckend“ sein. Diese drei Merkmale erfüllt nur eine Geldbuße, deren Höhe anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Adressaten festgesetzt wird. Daher muss bei der Berechnung der Sanktion ein materieller oder wirtschaftlicher Unternehmensbegriff anstelle eines rein formalen Unternehmensbegriffs zugrunde gelegt werden.

48.      Die tatsächliche oder materielle Definition von „Unternehmen“, die für das Wettbewerbsrecht kennzeichnend ist(17), wird somit vom europäischen Gesetzgeber für die Festsetzung der Höhe der Geldbußen wegen eines Verstoßes gegen die DSGVO herangezogen. Ich möchte jedoch wiederholen, dass die DSGVO auf diesen Begriff nur zu diesem Zweck Bezug nimmt.

49.      Im vorliegenden Fall könnte daher der Begriff des Unternehmens im Sinne der Art. 101 und 102 AEUV für die Bemessung der gegen Deutsche Wohnen zu verhängenden Geldbuße relevant sein. Ob Deutsche Wohnen als sanktionierte Einrichtung (oder besser gesagt Täterin) anzusehen ist, hängt aber streng genommen nicht von der Anwendung dieser beiden Artikel des AEUV ab.

50.      Dies schließt nicht aus, dementsprechend die allgemeinen Grundsätze, die für Sanktionen im Wettbewerbsrecht gelten (das vom Gerichtshof bereits umfassend ausgelegt worden ist), im Bereich der Verantwortlichkeit juristischer Personen für Verstöße gegen Vorschriften zum Schutz personenbezogener Daten analog anzuwenden(18).

b)      Unmittelbare Zurechnung an eine juristische Person

51.      Ist eine nationale Regelung mit der DSGVO vereinbar, die die Verhängung von Verwaltungssanktionen gegen juristische Personen davon abhängig macht, dass zuvor ein Verfahren gegen eine natürliche Person durchgeführt wird?

52.      Die DSGVO hat gemäß Art. 288 AEUV allgemeine Geltung und ist zudem verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Diese Merkmale würden in Frage gestellt, wenn die Mitgliedstaaten von der endgültigen Ausgestaltung der Vorgaben des Unionsgesetzgebers in der DSGVO abweichen könnten.

53.      Es stimmt zwar, dass einige Bestimmungen der DSGVO gerade wegen der Einzigartigkeit und der Merkmale des Zwecks dieser Verordnung den Mitgliedstaaten einen gewissen Spielraum lassen, nationale Regelungen, mit denen diese Bestimmungen konkretisiert werden, beizubehalten oder einzuführen. Dies gilt z. B.

—      hinsichtlich der Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde(19);

—      hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten, denn die DSGVO schließt nicht aus, dass die Mitgliedstaaten die Umstände besonderer Verarbeitungssituationen, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen diese Verarbeitung rechtmäßig ist, festlegen(20).

54.      Dieser Gestaltungsspielraum der Mitgliedstaaten, der in der mündlichen Verhandlung erörtert worden ist, kann meines Erachtens nicht so weit reichen, dass die Zurechenbarkeit an eine juristische Person eingeschränkt wird, wie es nach Ansicht des vorlegenden Gerichts durch § 30 OWiG geschieht.

55.      Eine solche Ausgestaltung der Regelung über die Verantwortlichkeit juristischer Personen würde es ermöglichen, dass Verstöße aus dem Anwendungsbereich des Sanktionssystems der DSGVO herausfielen, die nach dieser Verordnung einer juristischen Person zuzurechnen sind, sofern ihr die Eigenschaft des Verantwortlichen oder Auftragsverarbeiters zukommt. Dieser Fall träte ein, wenn an den Verstößen keine der natürlichen Personen beteiligt gewesen wären, die die juristische Person vertreten, leiten oder ihre Geschäfte führen.

56.      Soweit eine juristische Person, wie ich schon ausgeführt habe, für die Datenverarbeitung Verantwortliche und in dieser Eigenschaft Täterin der ihr zuzurechnenden Verstöße gegen die DSGVO sein kann, könnte die Anwendung von § 30 OWiG zu einer ungerechtfertigten Schwächung oder Einschränkung der Bandbreite strafbarer Verhaltensweisen führen, die nicht mit der allgemeinen Geltung der DSGVO in Einklang steht.

57.      Eine juristische Person, die als für die Verarbeitung personenbezogener Daten Verantwortliche oder als Auftragsverarbeiterin eingestuft werden kann, muss die Folgen – in Gestalt von Sanktionen – von Verstößen gegen die DSGVO nicht nur tragen, wenn diese von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch, wenn die Verstöße von natürlichen Personen (Mitarbeitern im weiteren Sinne) begangen wurden, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln.

58.      In Wirklichkeit bilden und definieren jene natürlichen Personen den Willen der juristischen Person, indem sie ihm durch individuelle und konkrete Handlungen Ausdruck verleihen. Diese individuellen Handlungen als konkreter Ausdruck jenes Willens sind letztlich der juristischen Person selbst zuzurechnen.

59.      Es handelt sich schließlich um natürliche Personen, die zwar nicht selbst Vertreter einer juristischen Person sind, aber unter der Aufsicht derjenigen handeln, die Vertreter der juristischen Person sind und die eine unzureichende Überwachung oder Kontrolle über die zuerst genannten Personen ausgeübt haben. Letzten Endes führt die Zurechenbarkeit zu der juristischen Person selbst, soweit der Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind.

60.      Die vorstehenden Erwägungen entsprechen der Auslegung des innerstaatlichen Rechts durch das vorlegende Gericht. Allerdings trägt die deutsche Regierung vor, durch die gemeinsame Anwendung der §§ 9, 30 und 130 OWiG entstehe ein System, dass die Sanktion von einer juristischen Person zuzurechnenden Verstößen ermögliche, die von natürlichen Personen ohne Leitungs- oder Vertretungsfunktion begangen worden seien, ohne dass diese Personen identifiziert werden müssten(21).

61.      Wie bereits ausgeführt, ist es Sache des vorlegenden Gerichts, die Bestimmungen seines nationalen Rechts auszulegen. Ob diese Bestimmungen nach der von der deutschen Regierung angeführten nationalen Rechtsprechung und Rechtslehre(22) eine Auslegung des nationalen Rechts zulassen, die den Anforderungen des Unionsrechts entspricht, ist eine Frage, deren Beantwortung Sache der nationalen Gerichte ist.

62.      Wäre eine solche Auslegung contra legem und aufgrund der besonderen Struktur des nationalen Sanktionssystems unmöglich, müsste das vorlegende Gericht, um den einschlägigen Vorschriften der DSGVO in diesem Bereich zu voller Geltung zu verhelfen, die mit dem Unionsrecht unvereinbare nationale Vorschrift unangewendet lassen, um den Vorrang der DSGVO zu gewährleisten.

 B.      Zweite Vorlagefrage

63.      Das vorlegende Gericht möchte wissen, ob nach Art. 83 Abs. 4 bis 6 DSGVO „das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss …, oder [ob] … für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus[reicht] (‚strict liability‘)“(23).

64.      Die so formulierte Frage ist hypothetischer Natur, so dass sie unzulässig ist, und zwar aus zwei Gründen.

65.      Erstens wurde nach dem Vorlagebeschluss die Sanktion gegen Deutsche Wohnen wegen eines vorsätzlichen (absichtlichen) Verhaltens und nicht wegen eines bloß „objektiven Verstoßes“ gegen die DSGVO verhängt. Die oben wiedergegebene Sachverhaltsdarstellung zeigt, dass dieses Unternehmen dem Ersuchen der Datenschutzbehörde bewusst und vorsätzlich nicht nachkam und die untersagte Verarbeitung der Daten fortsetzte. Für diese Einstufung spielt es keine Rolle, dass das Unternehmen sich auf eine Reihe technischer und rechtlicher Schwierigkeiten im Zusammenhang mit der Änderung seiner Datenverarbeitungssysteme berief.

66.      Zweitens hat das vorlegende Gericht, das vom Gerichtshof zur Klarstellung seiner Frage aufgefordert worden ist, ausgeführt, dass das erstinstanzliche Gericht an die Feststellungen im Bußgeldbescheid nicht gebunden sei und dass es zu einem späteren Zeitpunkt über die Begründetheit der Klage gegen die Sanktion entscheiden könne. Käme es zu der Überzeugung, dass ein Verstoß vorgelegen habe, müsse es klären, welche Schuldform vorgelegen habe, was von der Beantwortung der zweiten Vorlagefrage abhänge.

67.      Von dieser Klarstellung ausgehend, zeigt sich erneut, dass die zweite Vorlagefrage hypothetischer Natur ist: Die Entscheidung über die Einordnung des Verhaltens ist nicht zwingend erforderlich, um über den beim vorlegenden Gericht anhängigen Rechtsstreit zu entscheiden, sondern gegebenenfalls nach Zurückverweisung der Sache an das erstinstanzliche Gericht für dessen zukünftige Entscheidung.

68.      Jedenfalls bin ich, falls der Gerichtshof entscheiden sollte, diese Frage in der Sache zu prüfen, der Ansicht, dass die Antwort darauf nicht von der Auslegung von Art. 83 Abs. 4 bis 6 DSGVO abhängt, der die Bemessung der verwaltungsrechtlichen Geldbußen zum Gegenstand hat.

69.      Das vorlegende Gericht unterscheidet zwischen a) dem durch einen Mitarbeiter einer juristischen Person vermittelten Verstoß und b) dem Vorliegen von Verschulden (Vorsatz oder Fahrlässigkeit) der juristischen Person bei diesem Verstoß.

70.      Meines Erachtens handelt es sich bei dem „durch einen Mitarbeiter vermittelten Verstoß“ in Wirklichkeit und nach den Ausführungen im Zusammenhang mit der ersten Frage um einen Verstoß der juristischen Person, unter deren Aufsicht der Mitarbeiter gehandelt hat.

71.      Zutreffend formuliert, bezieht sich die Frage somit darauf, ob es möglich ist, dass eine Sanktion gegen eine juristische Person wegen eines (nicht schuldhaften) objektiven Verstoßes gegen die Pflichten, die ihr als für die Datenverarbeitung Verantwortliche oder Auftragsverarbeiterin obliegen, verhängt werden kann.

72.      Für die Beantwortung dieser Frage kann es hilfreich sein, die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (im Folgenden: EGMR) zu dem in Art. 7 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (im Folgenden: EMRK) verankerten Grundsatz der Gesetzmäßigkeit im Strafrecht in den Blick zu nehmen.

73.      Auch wenn die EMRK, solange die Union ihr nicht beigetreten ist, kein Rechtsinstrument darstellt, das formell in die Unionsrechtsordnung übernommen wurde, sind die in dieser Konvention anerkannten Grundrechte gleichwohl als allgemeine Grundsätze Teil des Unionsrechts (Art. 6 Abs. 3 EUV).

74.      Der Gerichtshof hat festgestellt: „[M]it Art. 52 Abs. 3 der Charta, wonach die in ihr enthaltenen Rechte, die den durch die EMRK garantierten Rechten entsprechen, die gleiche Bedeutung und Tragweite haben, wie sie ihnen in der EMRK verliehen werden, [soll] die notwendige Kohärenz zwischen den jeweiligen Rechten geschaffen werden, ohne dass dadurch die Eigenständigkeit des Unionsrechts und des Gerichtshofs berührt wird“(24).

75.      Die Rechtsprechung des EGMR zur Auslegung von Art. 7 EMRK weicht jedoch in Nuancen etwas ab:

—      Zum einen erwähnt dieser Artikel zwar nicht ausdrücklich die gedankliche Verknüpfung zwischen dem materiellen Tatbestand der Straftat und der als Täter anzusehenden Person, doch legen die Logik der Sanktion und der Begriff der Schuldhaftigkeit selbst nahe, dass die Sanktion eine intellektuelle Verknüpfung (Wissen und Wollen) voraussetzt, die es ermöglicht, ein Element der Verantwortlichkeit des materiellen Täters für sein Verhalten festzustellen(25).

—      Zum anderen lehnt der EGMR, wie die norwegische Regierung in der mündlichen Verhandlung angemerkt hat, die Strafbarkeit eines objektiven Tatbestands nicht ab. In seinem Urteil vom 7. Oktober 1988, Salabiaku/Frankreich(26), hat er festgestellt, dass eine solche Strafbarkeit nur „im Grundsatz“ und „unter bestimmten Bedingungen“ akzeptiert werden könne, da die EMRK, auch wenn sie Vermutungen nicht verbiete, „die Vertragsstaaten verpflichtet, im Strafrecht diesbezüglich bestimmte Grenzen zu respektieren“(27).

76.      Tatsächlich ergeben sich bei der Übernahme der dogmatischen Kategorien des Strafrechts (nulla poena sine culpa) in das Verwaltungssanktionsrecht erhebliche Auslegungsschwierigkeiten. Unter den Begriff des Verschuldens (in der Variante der Fahrlässigkeit) können Fälle der bloßen Nichtbeachtung einer Rechtsvorschrift fallen, wenn der Handelnde wissen musste, welches Handeln von ihm verlangt wird.

77.      So gesehen, könnten die unterschiedlichen Schuldformen, einschließlich der weniger schwerwiegenden Formen, ebenso wie die verschiedenen Zurechnungsgrundlagen (etwa Überwachungs- oder Auswahlverschulden) kennzeichnend für ein Verhalten sein, das aus einer anderen Perspektive von einem Gericht als Fall der objektiven Verantwortlichkeit angesehen werden könnte. Die Grenzen zwischen der einen und der anderen Kategorie sind daher im Verwaltungssanktionsrecht nicht so scharf, wie es sich aus dem Vorlagebeschluss zu ergeben scheint.

78.      Richtig ist, dass der Gerichtshof in Bezug auf das Unionsrecht in bestimmten Fällen im Sanktionsrecht ein System anerkannt hat, das er als objektive Verantwortlichkeit einstuft. Dies hat er z. B. im Urteil vom 22. März 2017, Euro-Team und Spirál-Gép, mit folgenden Worten getan:

—      „[Im Hinblick auf] die Vereinbarkeit der Einführung einer objektiven Verantwortlichkeit mit dem Verhältnismäßigkeitsgrundsatz … hat der Gerichtshof bereits wiederholt entschieden, dass ein solches System, aufgrund dessen der Verstoß gegen das Unionsrecht geahndet wird, für sich genommen mit dem Unionsrecht nicht unvereinbar ist“.

—      „[D]ie Schaffung eines Systems der objektiven Verantwortlichkeit [ist nämlich] gemessen an den angestrebten Zielen nicht unverhältnismäßig, wenn dieses System so geartet ist, dass es die von ihm erfassten Personen zur Beachtung der Bestimmungen einer Verordnung anzuhalten vermag, und wenn die verfolgten Ziele ein Allgemeininteresse aufweisen, das die Schaffung eines solchen Systems rechtfertigen kann“(28).

79.      Allerdings bezieht sich diese Rechtsprechung auf andere Bereiche als den Datenschutz, nämlich auf die Verletzung von Handlungspflichten vorwiegend formaler Art: Es ging um Sanktionen für die Nutzung eines Autobahnabschnitts, ohne die erforderliche Mautgebühr gezahlt zu haben(29), oder wegen Verstoßes gegen Vorschriften über die Benutzung des Schaublatts des in einem Lastkraftwagen installierten Kontrollgeräts(30).

80.      Was die in der DSGVO vorgesehenen Verpflichtungen anbelangt – einschließlich derer, von denen die Verarbeitung von Daten (Art. 5 DSGVO) und deren Rechtmäßigkeit (Art. 6 DSGVO) abhängt –, so setzt die Beurteilung der Frage, ob sie eingehalten wurden, einen komplexen Bewertungs- und Beurteilungsprozess voraus, der über die bloße Feststellung eines formalen Verstoßes hinausgeht.

81.      Jedenfalls spricht Art. 83 DSGVO meines Erachtens gegen ein System der objektiven (verschuldensunabhängigen) Verantwortlichkeit im Bereich von Sanktionen, d. h., er setzt Vorsatz oder Fahrlässigkeit bei der strafbaren Handlung voraus. Dies ergibt sich meines Erachtens aus mehreren seiner Absätze:

—      Nach Abs. 1 ist dafür Sorge zu tragen, dass die für Verstöße verhängten Geldbußen „verhältnismäßig“ sind. Der Grundsatz der Verhältnismäßigkeit von Sanktionen wird durch Art. 49 der Charta und auch durch die Rechtsprechung des EGMR, auf die ich oben verwiesen habe, gewährleistet.

—      Abs. 2 Buchst. b benennt ausdrücklich die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ als ein für die Verhängung und Bemessung einer Geldbuße maßgebliches Kriterium(31). Die übrigen in den Buchst. a bis k dieses Absatzes aufgeführten Faktoren konkretisieren die im Einzelfall relevanten Umstände, und mehrere davon umfassen ein subjektives Element(32), während ein rein objektiver Verstoß nicht aufgeführt ist.

—      Abs. 3 sieht vor, dass in Fällen, in denen ein Verantwortlicher oder Auftragsverarbeiter „vorsätzlich oder fahrlässig“ gegen mehrere Bestimmungen dieser Verordnung verstößt (Zusammentreffen mehrerer Verstöße), die Höhe der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Daraus ergibt sich somit, dass rein objektive Verstöße für die Sanktion insoweit ohne Bedeutung sind, als sie nicht kumulativ zu vorsätzlichen oder fahrlässigen Verstößen berücksichtigt werden.

82.      Die von mir soeben dargestellten Argumente gingen ins Leere, wenn, wie einige der beteiligten Regierungen vortragen, das Fehlen ausdrücklicher Regelungen zu diesem Aspekt in der DSGVO bedeutete, dass den Mitgliedstaaten die Möglichkeit eingeräumt wird, entweder ein auf die subjektive Verantwortlichkeit (Vorsatz oder Fahrlässigkeit) abstellendes System zu wählen oder ein System, das auch die objektive Verantwortlichkeit umfasst.

83.      Ich erkenne an, dass gewisse Argumente für die Auffassung dieser Regierungen sprechen: Soweit Art. 83 Abs. 2 DSGVO Vorsätzlichkeit oder Fahrlässigkeit als Faktoren für die Festsetzung der Höhe der Geldbuße und nicht als unabdingbare (wesentliche) Merkmale der Zuwiderhandlung selbst nennt, könnte diese Vorschrift die Möglichkeit eröffnen, dass die Mitgliedstaaten diese wesentlichen Merkmale eines Verstoßes nach ihrem Ermessen ausgestalten.

84.      Ich bin jedoch wie die Kommission der Ansicht, dass das zutreffende Verständnis des mit der DSGVO, deren unmittelbare Anwendbarkeit unbestreitbar ist, eingeführten Sanktionssystems für eine einheitliche und kohärente Lösung(33) in allen Mitgliedstaaten spricht und nicht dafür, dass jeder von ihnen selbst entscheidet, ob zu den strafbaren Verstößen auch solche gehören sollen, die nicht vorsätzlich oder fahrlässig begangen werden.

85.      Meines Erachtens untermauern die vom vorlegenden Gericht in seinem Vorabentscheidungsersuchen angeführten Erwägungsgründe der DSGVO, in denen die Notwendigkeit, Verstöße mit gleichen Sanktionen(34) zu ahnden, wiederholt wird, dass die einheitliche Lösung zutreffend ist (und der uneinheitlichen Lösung nicht gefolgt werden kann). Gleichheit gäbe es nicht, wenn es jedem Mitgliedstaat gestattet wäre, ungleiche Sachverhalte als strafbare Handlungen einzustufen, einschließlich solcher Fälle, in denen ein rein objektiver Verstoß ohne Vorsatz oder Fahrlässigkeit vorliegt.

V.      Ergebnis

86.      Nach alledem schlage ich dem Gerichtshof vor, dem Kammergericht Berlin (Deutschland) wie folgt zu antworten:

Art. 58 Abs. 2 Buchst. i der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Verbindung mit Art. 4 Nr. 7 und Art. 83 dieser Verordnung

ist dahin auszulegen, dass

die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhängt.

Die Verwaltungsgeldbußen, die gemäß der Verordnung 2016/679 verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.“


1      Originalsprache: Spanisch.


2      Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2). Im Folgenden: DSGVO.


3      Gesetz vom 24. Mai 1968 (BGBl. I [S.] 481; III 454-1), in der Fassung vom 19. Februar 1987 (BGBl. I S. 602), geändert durch das Gesetz vom 19. Juni 2020 (BGBl. I S. 1328). Im Folgenden: OWiG.


4      Verordnung des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln (ABl. 2003, L 1, S. 1).


5      Gründe II Nr. 1 des Vorlagebeschlusses. Siehe Nrn. 41 ff. der vorliegenden Schlussanträge.


6      Rn. 45 der schriftlichen Erklärungen von Deutsche Wohnen sowie Rn. 24 und 25 der schriftlichen Erklärungen der deutschen Regierung.


7      In einem Verfahren nach Art. 267 AEUV, das auf einer klaren Aufgabentrennung zwischen den nationalen Gerichten und dem Gerichtshof beruht, ist allein das nationale Gericht für die Feststellung und Beurteilung des Sachverhalts des Ausgangsrechtsstreits sowie die Auslegung und Anwendung des nationalen Rechts zuständig. Urteil vom 26. April 2017, Farkas (C‑564/15, EU:C:2017:302, Rn. 37).


8      Der Gerichtshof kann die Beantwortung einer Vorlagefrage nur ablehnen, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder er nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (statt aller Urteil vom 27. September 2017, Puškár [C‑73/16, EU:C:2017:725, Rn. 50]). Im vorliegenden Fall ist keine dieser Konstellationen gegeben.


9      Ungeachtet der in der mündlichen Verhandlung erhobenen Einwände von Deutsche Wohnen gegen ihre diesbezügliche Einstufung steht fest, dass ihr Profil der Definition des für die Verarbeitung „Verantwortlichen“ in Art. 4 DSGVO entspricht. Dies gilt unabhängig von ihrer tatsächlichen Verantwortlichkeit für die Verstöße, die ihr als dem für die Verarbeitung „Verantwortlichen“ zur Last gelegt werden.


10      Eine andere Frage ist, inwieweit bei der Festsetzung der Höhe der betreffenden Sanktion gegebenenfalls die etwaige Integration von Deutsche Wohnen und ihrer Tochtergesellschaften in eine übergeordnete wirtschaftliche Einheit zu berücksichtigen ist. Entgegen dem Anschein bestehen die klassischen Probleme der Haftungszurechnung zwischen Mutter- und Tochtergesellschaften oder innerhalb von Konzernen als solche im vorliegenden Fall nicht.


11      Art. 4 Nr. 7 DSGVO definiert als „für die Verarbeitung Verantwortliche[n]“, soweit es für den vorliegenden Fall von Interesse ist, „die … juristische Person, …, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“; in Art. 4 Nr. 8 wird der „Auftragsverarbeiter“ als „eine … juristische Person, …, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“, definiert.


12      Dieser Person steht natürlich auch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde zu (Art. 78 Abs. 1 DSGVO) und somit auch gegen jegliche Geldbuße, die gegen sie verhängt werden kann.


13      Beispielsweise verhängte die irische Datenschutzbehörde am 31. Dezember 2022 gegen Facebook Geldbußen in Höhe von 210 Mio. Euro und gegen Instagram in Höhe von 180 Mio. Euro.


14      Gründe II Nr. 1 des Vorlagebeschlusses.


15      Siehe Nr. 32 der vorliegenden Schlussanträge.


16      Urteil vom 27. April 2017, Akzo Nobel u. a./Kommission (C‑516/15 P, EU:C:2017:314, Rn. 47).


17      Statt aller Urteil vom 10. April 2014, Areva u. a./Kommission (C‑247/11 P und C‑253/11 P, EU:C:2014:257, Rn. 123).


18      Wie ich bereits ausgeführt habe, spielen die Probleme im Zusammenhang mit der Beziehung zwischen Mutter- und Tochtergesellschaften im Hinblick auf Sanktionen im vorliegenden Vorabentscheidungsverfahren keine Rolle. Es sind im Rahmen der Vorlage auch keine Fragen zur Beweislast für den zur Last gelegten Sachverhalt gestellt worden.


19      Zehnter Erwägungsgrund der DSGVO.


20      Ebd.


21      Rn. 25 der schriftlichen Erklärungen der deutschen Regierung. Dagegen vertritt das vorlegende Gericht mit den oben wiedergegebenen Worten die Auffassung, dass der nach dem innerstaatlichen Recht erreichbare Schutz von Rechtsgütern selbst in Verbindung mit den §§ 9 und 30 OWiG gegenüber dem aus Art. 101 und 102 AEUV abgeleiteten Haftungsregime deutlich eingeschränkt sei.


22      Rn. 25 der schriftlichen Erklärungen der deutschen Regierung, Fn. 16 bis 18.


23      Der Ausdruck strict liability entspricht in den üblichen englischen Übersetzungen der Urteile des Gerichtshofs den Ausdrücken responsabilidad objetiva (spanische Fassung); responsabilité objective (französische Fassung); responsabilità oggettiva (italienische Fassung); responsabilidade objetiva (portugiesische Fassung); objektive Verantwortlichkeit (deutsche Fassung) und objectieve aansprakelijkheid (niederländische Fassung).


24      Statt aller Urteil vom 2. Februar 2021, Consob (C‑481/19, EU:C:2021:84, Rn. 36).


25      Urteil des EGMR vom 20. Januar 2009, Sud Fondi u. a./Italien (CE:ECHR:2009:0120JUD007590901), § 116.


26      CE:ECHR:1988:1007JUD001051983.


27      Urteil des EGMR vom 7. Oktober 1988, Salabiaku/Frankreich, §§ 27 und 28.


28      Urteil vom 22. März 2017, Euro-Team und Spirál-Gép (C‑497/15 und C‑498/15, EU:C:2017:229, Rn. 53 und 54), unter Anführung des Urteils vom 9. Februar 2012, Urbán (C‑210/10, EU:C:2012:64, Rn. 47 und 48).


29      Urteil vom 22. März 2017, Euro-Team und Spirál-Gép (C‑497/15 und C‑498/15, EU:C:2017:229).


30      Urteil vom 9. Februar 2012, Urbán (C‑210/10, EU:C:2012:64).


31      Siehe jedoch Nrn. 82 und 83 der vorliegenden Schlussanträge.


32      So verweist z. B. Buchst. a auf den Zweck der Verarbeitung, Buchst. c auf Maßnahmen zur Minderung des Schadens, Buchst. d auf den Grad der Verantwortlichkeit unter Berücksichtigung der getroffenen Maßnahmen und Buchst. f auf den Umfang der Zusammenarbeit mit der Aufsichtsbehörde.


33      Im 150. Erwägungsgrund der DSGVO wird die kohärente Anwendung von Geldbußen durch die Mitgliedstaaten erwähnt. Dagegen bleibt den Mitgliedstaaten vorbehalten, darüber zu entscheiden, „ob und inwieweit gegen Behörden Geldbußen verhängt werden können“. Dies gilt unbeschadet der Sondervorschriften für Dänemark und Estland, auf die im 151. Erwägungsgrund Bezug genommen wird, und unbeschadet der im 152. Erwägungsgrund genannten Fallkonstellation.


34      Der zehnte Erwägungsgrund der DSGVO verweist darauf, dass „[d]ie Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten … gleichmäßig und einheitlich angewandt werden [sollten]“ (Hervorhebung nur hier). Im elften Erwägungsgrund heißt es, dass bei Verstößen gleiche Sanktionen zu verhängen sind, und derselbe Ausdruck wird im 13. Erwägungsgrund wiederholt.

 

 

stats