In seinem Urteil vom 5. Dezember 2023 (Rs. C-807/21) hat der Europäische Gerichtshof (EuGH) entschieden, dass die Verhängung einer Geldbuße wegen eines DSGVO-Verstoßes gegen eine juristische Person möglich ist, ohne eine natürliche Person, der der Verstoß zuzurechnen ist, vorher zu identifizieren. Die Entscheidung wurde durch die Datenschutzbehörden begrüßt. Sie ermöglicht eine vermeintliche Reduzierung der Anforderungen an den Tatnachweis durch die Behörden.

So wurde eine wesentliche Erschwernis zur Durchsetzung des Datenschutzrechts beseitigt. Damit dürften Unternehmen in Zukunft schneller ins Visier der Datenschutzbehörden genommen werden. Diese Entscheidung des EuGH führt allerdings nicht nur zu Vereinfachungen für die Datenschutzbehörden, sondern stärkt auch die Verteidigung. Was börsennotierte Unternehmen und Finanzinstitute jetzt wissen sollten.

Die Entscheidung des Europäischen Gerichtshof (EuGH) war mit Spannung erwartet worden. Auslöser war eine Vorlage des Kammergerichts Berlin. Dieses hatte über einen Bußgeldbescheid in Höhe von 14,5 Mill. Euro gegen die Immobiliengesellschaft Deutsche Wohnen SE zu urteilen. Grund war die mutmaßlich datenschutzwidrige Aufbewahrung von Mieterdaten durch Deutsche Wohnen. Bei der EuGH-Entscheidung ging es um eine der wahrscheinlich wichtigsten Grundsatzfragen des Datenschutzrechts.

Zur Erinnerung: Die Betonung der Sanktionierungsmöglichkeiten mit bis zu 2 bzw. 4% des gesamten weltweit erzielten Jahresumsatzes sollte dem Datenschutzrecht zu mehr Durchschlagskraft verhelfen. Umstritten war von Beginn an aber, unter welchen Voraussetzungen eine Datenschutzsanktion gegenüber Unternehmen festgesetzt werden kann. Die Diskussion resultierte daraus, dass die DSGVO nicht regelt, wann die Verwirklichung eines Bußgeldtatbestands durch für ein Unternehmen handelnde natürliche Personen dem Unternehmen zugerechnet werden kann. Der EuGH entschied am 5. Dezember 2023 nun, dass es nach der DSGVO nicht nötig ist, den Verstoß zuvor einer identifizierten natürlichen Person zuzurechnen, um ein Bußgeld zu verhängen. Im Klartext: Jetzt müssen die Datenschutzbehörden im Ermittlungsverfahren nicht mehr klären, welche Person den (vermeintlichen) Datenschutzverstoß begangen oder eine Untätigkeit zu verantworten hat. Jetzt können die Behörden direkt auf Unternehmen zugreifen. Das erleichtert die Ermittlungsarbeit der Datenschutzbehörden.

Gleichwohl dürfte das nur auf den ersten Blick zur Stärkung der Behörden führen. Der EuGH hat die Datenschutzbehörden zugleich dazu verpflichtet, konkret festzustellen, dass der DSGVO-Verstoß schuldhaft begangen wurde. Erforderlich bleibt also der Nachweis, dass der vermeintliche Datenschutzverstoß vorsätzlich oder fahrlässig begangen wurde. Allerdings soll es für ein Verschulden ausreichen, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens „nicht im Unklaren sein konnte“. Dabei ist es egal, ob ihm dabei bewusst war, dass sein Verhalten gegen die Vorschriften der DSGVO verstößt. Für eine Geldbuße gegen eine juristische Person soll jetzt „keine Handlung“ und nicht einmal die „Kenntnis seitens des Managements“ erforderlich sein.

Auf den ersten Blick deuten die benutzten Formulierungen darauf hin, dass es auch hier für die Datenschutzbehörden deutlich leichter werden wird, Feststellungen am Verfahren vorzunehmen. Hier spielt eine Rolle, dass Ermittlungsbehörden generell anfällig für sogenannte Rückschaufehler sind: Ohne die Pflicht, eine etwaige Kenntnis des Managements beweisen zu müssen, könnten Datenschutzbehörden sehr schnell die Formel bemühen, dass man (wohl bemerkt im Nachhinein) sich über die Rechtswidrigkeit nicht im Unklaren sein konnte.

Genau diese Passage in der Entscheidung des EuGH birgt für die Datenschutzbehörden Risiken. Eine Sanktion kann nur dann verhängt werden, wenn diese vorwerfbar ist. Die Substanz der Schuldidee lässt der EuGH aber vermissen, wenn nicht einmal die Kenntnis des Managements vorausgesetzt wird. Die einfache Übernahme der Formel des EuGH wird für die Beweisführung deshalb ins Leere gehen. Grund dafür ist, dass das Bundesverfassungsgericht (BVerfG) bereits mehrfach entschieden hat, dass der Schuldgrundsatz zum unantastbaren Kerngehalt der Verfassungsidentität gehört.

Das bedeutet auch, dass deutsche Behörden – auch bei supranationalen Verpflichtungen – nicht von der Verpflichtung befreit sind, die „Ausprägung“ des Schuldgrundsatzes sicherzustellen. Mit anderen Worten: Sobald im Einzelfall die Substanz des Schuldgrundsatzes nicht mehr gewährleistet ist, gilt der Anwendungsvorrang des Europarechts nicht (mehr). Deshalb wird es für die Datenschutzbehörden nicht reichen, den Verstoß festzustellen und sich schlicht darauf zu berufen, dass das Unternehmen – oder wer auch immer – sich nicht „im Unklaren“ sein konnte.

Anders als bei der Frage der Haftungsvoraussetzungen der Unternehmen, für die das Gericht keinen nationalen Ermessensspielraum sieht, stellt der EuGH klar, dass die DSGVO den Mitgliedstaaten die Möglichkeit einräumt, „Anforderungen“ an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen. Die zwingenden Vorgaben des Unionsrechts gelten nur bei den materiellen Voraussetzungen des Bußgeldrechts. Diese Klarstellung ist mehr als nur eine Randnotiz, weil damit die für die Prozessrecht enthaltene Verweisungskette in § 41 Abs. 2 BDSG intakt bleibt. Damit stehen Unternehmen im Verfahren gegen die Aufsichtsbehörden im Bußgeldverfahren alle Rechte der Verteidigung zu. Dazu gehört aber auch ein in der Praxis bislang wenig genutztes, aber sehr wirkmächtiges Instrument: Das Recht zu schweigen. § 41 Abs. 4 Satz 2 BDSG räumt dieses Recht ausdrücklich den der Datenschutzaufsicht unterliegenden Stellen, also auch juristischen Personen, ein. Dieses Recht gilt nicht erst, wenn ein Bußgeldverfahren gegen den Verantwortlichen eingeleitet ist, sondern bereits dann, wenn im Rahmen des Aufsichtsverfahrens durch die Datenschutzbehörde um Auskünfte ersucht wird.

Schweigen ergibt also bereits Sinn, wenn das Unternehmen sich durch die Beantwortung der Fragen der Behörden im verwaltungsrechtlichen Prüf- oder Beschwerdeverfahren der Gefahr eines Bußgeldverfahrens aussetzt. In der Praxis des Unternehmensstrafrechts wird darüber gestritten, wann eine solche Gefahr real ist und somit das Recht zum Schweigen nach sich zieht. Im Datenschutzrecht besteht allerdings die Besonderheit, dass nahezu jeder Verstoß gegen die umfassenden Verpflichtungen der DSGVO bußgeldbewehrt ist.

Vor diesem Hintergrund und aufgrund der Tatsache, dass die DSGVO auch viele Generalklauseln und unbestimmte Rechtsbegriffe enthält, sollten Unternehmen in Zukunft bei der Kommunikation mit Aufsichtsbehörden zurückhaltend sein und vielleicht auch sein müssen. Zu viele Worte und ein unreflektiert offener Umgang können sehr schnell negative Auswirkungen auf das Bußgeldverfahren haben.

Behutsames Schweigen ist das Heiligtum der Klugheit. So hat es der Philosoph Gracian im 16. Jahrhundert im berühmten Werk „Handorakel und Kunst der Weltklugheit“ formuliert. In Strafprozessen ist das Schweigen der erste Rat, den ein Verteidiger seinem Mandanten erteilt und erteilen muss. Bei der Verteidigung von Unternehmen galt in der Praxis bislang, dass die Entscheidung über das Ob und Wie der Kommunikation sehr vom Fall abhängt. In vielen Fällen konnte es sinnvoll sein, sehr früh Stellung zu beziehen, um sich kooperativ zu zeigen und so auf das günstigste Ergebnis hinzuwirken. Ob letzteres im Bereich des Datenschutzsanktionenrecht genauso gilt, ist aktuell offen.

Die Entscheidung des EuGH vereinfacht den Datenschutzbehörden zunächst die Einleitung von Bußgeldverfahren. Vor diesem Hintergrund müssen Unternehmen schon im ersten Moment – und das ist spätestens der Beginn des Verwaltungsverfahrens – abwägen, was es erklärt oder nicht. Noch mehr gilt das für informelle Anfragen der Datenschutzbehörden. Unternehmen sollten nicht vorschnell (selbst belastende) Erklärungen abgeben, sondern zunächst evaluieren, welche Risiken bestehen und welche Verteidigungsoptionen im Raum stehen. Die Empfehlung ist also: (Straf-)Verteidigung muss künftig bei der Datenschutzberatung früher als bisher mitgedacht werden.