Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 05.12.2023 - C-807/21
EuGH 05.12.2023 - C-807/21 - URTEIL DES GERICHTSHOFS (Große Kammer) - 5. Dezember 2023 ( *1) - „Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Art. 58 Abs. 2 – Abhilfebefugnisse der Aufsichtsbehörden – Art. 83 – Verhängung von Geldbußen gegen eine juristische Person – Voraussetzungen – Gestaltungsspielraum der Mitgliedstaaten – Erfordernis der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“
Leitsatz
In der Rechtssache C-807/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Kammergericht Berlin (Deutschland) mit Beschluss vom 6. Dezember 2021, beim Gerichtshof eingegangen am 21. Dezember 2021, in dem Verfahren
Deutsche Wohnen SE
gegen
Staatsanwaltschaft Berlin
erlässt
DER GERICHTSHOF (Große Kammer)
unter Mitwirkung des Präsidenten K. Lenaerts, des Vizepräsidenten L. Bay Larsen, der Kammerpräsidenten A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz und Z. Csehi, der Kammerpräsidentin O. Spineanu-Matei, der Richter M. Ilešič und J.-C. Bonichot, der Richterin L. S. Rossi sowie der Richter A. Kumin, N. Jääskinen (Berichterstatter), N. Wahl und M. Gavalec,
Generalanwalt: M. Campos Sánchez-Bordona,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 17. Januar 2023,
unter Berücksichtigung der Erklärungen
der Deutsche Wohnen SE, vertreten durch Rechtsanwälte O. Geiss, K. Mertens, N. Venn und T. Wybitul,
der deutschen Regierung, vertreten durch J. Möller und P.-L. Krüger als Bevollmächtigte,
der estnischen Regierung, vertreten durch M. Kriisa als Bevollmächtigte,
der niederländischen Regierung, vertreten durch C. S. Schillemans als Bevollmächtigte,
der norwegischen Regierung, vertreten durch L.-M. Moen Jünge, M. Munthe-Kaas und T. Westhagen Edell als Bevollmächtigte,
des Europäischen Parlaments, vertreten durch G. C. Bartram und P. López-Carceller als Bevollmächtigte,
des Rates der Europäischen Union, vertreten durch J. Bauerschmidt und K. Pleśniak als Bevollmächtigte,
der Europäischen Kommission, vertreten durch A. Bouchagiar, F. Erlbacher, H. Kranenborg und G. Meessen als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 27. April 2023
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 83 Abs. 4 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2) (im Folgenden: DSGVO).
Es ergeht im Rahmen eines Rechtsstreits zwischen der Deutsche Wohnen SE (im Folgenden: DW) und der Staatsanwaltschaft Berlin (Deutschland) über Geldbußen, die gegen DW gemäß Art. 83 DSGVO wegen eines Verstoßes gegen Art. 5 Abs. 1 Buchst. a, c und e, Art. 6 sowie Art. 25 Abs. 1 DSGVO verhängt wurden.
Rechtlicher Rahmen
Unionsrecht
In den Erwägungsgründen 9, 10, 11, 13, 74, 129 und 150 der DSGVO heißt es:
… Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. …
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. Hinsichtlich der Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, sollten die Mitgliedstaaten die Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen. … Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten … Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.
Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.
…
Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. …
…
Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.
…
Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter … Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse … Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind. Untersuchungsbefugnisse im Hinblick auf den Zugang zu Räumlichkeiten sollten im Einklang mit besonderen Anforderungen im Verfahrensrecht der Mitgliedstaaten ausgeübt werden, wie etwa dem Erfordernis einer vorherigen richterlichen Genehmigung. Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde sollte schriftlich erlassen werden und sie sollte klar und eindeutig sein; die Aufsichtsbehörde, die die Maßnahme erlassen hat, und das Datum, an dem die Maßnahme erlassen wurde, sollten angegeben werden und die Maßnahme sollte vom Leiter oder von einem von ihm bevollmächtigen Mitglied der Aufsichtsbehörde unterschrieben sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten. Dies sollte zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten nicht ausschließen. …
…
Um die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind. Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne der Artikel 101 und 102 AEUV verstanden werden. …“
In Art. 4 DSGVO heißt es:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
…
‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
‚Auftragsverarbeiter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
…
‚Unternehmen‘ eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
…“
Art. 58 („Befugnisse“) Abs. 2 und 4 DSGVO bestimmt:
„(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
…
den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
…
eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
…
eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
…
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta [der Grundrechte der Europäischen Union].“
Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) DSGVO sieht vor:
„(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10000000 [Euro] oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
…
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20000000 [Euro] oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
…
alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;
Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.
(6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20000000 [Euro] oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
(7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.
(8) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.
…“
Deutsches Recht
Nach § 41 Abs. 1 Satz 1 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. 2017 I S. 2097) (im Folgenden: BDSG) gelten, soweit dieses Gesetz nichts anderes bestimmt, für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO die Vorschriften des Gesetzes über Ordnungswidrigkeiten vom 24. Mai 1968 (BGBl. 1968 I S. 481) in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. 1987 I S. 602), geändert durch Gesetz vom 19. Juni 2020 (BGBl. 2020 I S. 1350) (im Folgenden: OWiG).
§ 30 („Geldbuße gegen juristische Personen und Personenvereinigungen“) OWiG bestimmt:
„(1) Hat jemand
als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs,
als Vorstand eines nicht rechtsfähigen Vereins oder als Mitglied eines solchen Vorstandes,
als vertretungsberechtigter Gesellschafter einer rechtsfähigen Personengesellschaft,
als Generalbevollmächtigter oder in leitender Stellung als Prokurist oder Handlungsbevollmächtigter einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung oder
als sonstige Person, die für die Leitung des Betriebs oder Unternehmens einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung verantwortlich handelt, wozu auch die Überwachung der Geschäftsführung oder die sonstige Ausübung von Kontrollbefugnissen in leitender Stellung gehört,
eine Straftat oder Ordnungswidrigkeit begangen, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder die juristische Person oder die Personenvereinigung bereichert worden ist oder werden sollte, so kann gegen diese eine Geldbuße festgesetzt werden.
…
(4) Wird wegen der Straftat oder Ordnungswidrigkeit ein Straf- oder Bußgeldverfahren nicht eingeleitet oder wird es eingestellt oder wird von Strafe abgesehen, so kann die Geldbuße selbständig festgesetzt werden. Durch Gesetz kann bestimmt werden, dass die Geldbuße auch in weiteren Fällen selbständig festgesetzt werden kann. Die selbständige Festsetzung einer Geldbuße gegen die juristische Person oder Personenvereinigung ist jedoch ausgeschlossen, wenn die Straftat oder Ordnungswidrigkeit aus rechtlichen Gründen nicht verfolgt werden kann …“
§ 130 OWiG bestimmt:
„(1) Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.
…
(3) Die Ordnungswidrigkeit kann, wenn die Pflichtverletzung mit Strafe bedroht ist, mit einer Geldbuße bis zu einer Million Euro geahndet werden. § 30 Absatz 2 Satz 3 ist anzuwenden. Ist die Pflichtverletzung mit Geldbuße bedroht, so bestimmt sich das Höchstmaß der Geldbuße wegen der Aufsichtspflichtverletzung nach dem für die Pflichtverletzung angedrohten Höchstmaß der Geldbuße. …“
Ausgangsverfahren und Vorlagefragen
DW ist eine börsennotierte Immobiliengesellschaft mit Sitz in Berlin (Deutschland) in der Rechtsform einer Europäischen Gesellschaft. Sie hält über Beteiligungen an verschiedenen Gesellschaften mittelbar rund 163000 Wohneinheiten und 3000 Gewerbeeinheiten.
Eigentümer dieser Einheiten sind Tochtergesellschaften von DW, sogenannte Besitzgesellschaften, die das operative Geschäft führen, während DW die übergeordnete Leitung des Konzerns wahrnimmt, den sie u. a. mit ihren Tochtergesellschaften bildet. Letztere vermieten die Wohn- und Gewerbeeinheiten, die von anderen Gesellschaften dieses Konzerns, sogenannten Servicegesellschaften, verwaltet werden.
Im Rahmen ihrer Geschäftstätigkeit verarbeiten DW und die von ihr geleiteten Unternehmen des Konzerns personenbezogene Daten der Mieter von Wohn- und Gewerbeeinheiten, wie beispielsweise Identitätsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten dieser Mieter sowie Angaben zu Vormietverhältnissen.
Am 23. Juni 2017 wies die Berliner Beauftragte für Datenschutz (Deutschland) (im Folgenden: Aufsichtsbehörde) DW im Rahmen einer Vor-Ort-Kontrolle darauf hin, dass ihre Konzerngesellschaften Dokumente, die personenbezogene Daten von Mietern enthielten, in einem elektronischen Archivsystem speicherten, bei dem nicht nachvollzogen werden könne, ob die Speicherung erforderlich sei und ob gewährleistet sei, dass nicht mehr erforderliche Daten gelöscht würden.
Die Aufsichtsbehörde forderte DW auf, diese Dokumente bis zum Jahresende 2017 aus ihrem elektronischen Archivsystem zu löschen. DW beantwortete diese Aufforderung dahin, dass die Löschung aus technischen und rechtlichen Gründen nicht möglich sei.
Nachdem sich DW und die Aufsichtsbehörde in Bezug auf die Möglichkeit, die fraglichen Dokumente zu löschen, ausgetauscht hatten, berichtete DW der Aufsichtsbehörde, dass sie den Aufbau eines neuen Speichersystems beabsichtige, mit dem das System, das diese Dokumente enthalte, ersetzt werden solle.
Am 5. März 2019 nahm die Aufsichtsbehörde eine Prüfung in der Zentrale des von DW geleiteten Konzerns vor. Hierbei teilte DW der Aufsichtsbehörde mit, dass das beanstandete elektronische Archivsystem bereits außer Betrieb gesetzt worden sei und die Migration der Daten auf das neue Speichersystem unmittelbar bevorstehe.
Mit Bescheid vom 30. Oktober 2019 setzte die Aufsichtsbehörde gegen DW wegen des vorsätzlichen Verstoßes gegen Art. 5 Abs. 1 Buchst. a, c und e sowie Art. 25 Abs. 1 DSGVO eine Geldbuße in Höhe von 14385000 Euro fest (im Folgenden: Bußgeldbescheid). Mit diesem Bescheid setzte sie zudem gegen DW wegen Verstößen gegen Art. 6 Abs. 1 DSGVO 15 weitere Geldbußen in Höhe von 3000 bis 17000 Euro fest.
In dem Bußgeldbescheid vertrat die Aufsichtsbehörde insbesondere die Ansicht, dass DW es zwischen dem 25. Mai 2018 und dem 5. März 2019 vorsätzlich unterlassen habe, die notwendigen Maßnahmen zur Ermöglichung der regelmäßigen Löschung nicht mehr benötigter oder aus sonstigen Gründen zu Unrecht gespeicherter personenbezogener Daten von Mietern zu treffen. DW habe zudem personenbezogene Daten von mindestens 15 näher bezeichneten Mietern fortgesetzt gespeichert, obgleich dies nicht erforderlich gewesen sei.
DW legte gegen diesen Bescheid Einspruch beim Landgericht Berlin (Deutschland) ein. Dieses stellte das Verfahren ein, da der Bußgeldbescheid unter so gravierenden Mängeln leide, dass er nicht als Grundlage für die Festsetzung einer Geldbuße dienen könne.
Die Verhängung einer Geldbuße gegen eine juristische Person sei in § 30 OWiG abschließend geregelt, der über § 41 Abs. 1 BDSG auch auf Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO Anwendung finde. Nach § 30 OWiG könne eine Ordnungswidrigkeit aber nur von einer natürlichen Person und nicht von einer juristischen Person begangen werden. Der juristischen Person könnte nur ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Zwar könne nach § 30 Abs. 4 OWiG gegen juristische Personen unter bestimmten Voraussetzungen ein selbständiges Bußgeldverfahren durchgeführt werden. Aber auch dann sei es erforderlich, eine Ordnungswidrigkeit des Organmitglieds oder des Repräsentanten der betreffenden juristischen Person festzustellen.
Die Staatsanwaltschaft Berlin focht diesen Beschluss beim Kammergericht Berlin (Deutschland), dem vorlegenden Gericht, mit einer sofortigen Beschwerde an.
Das vorlegende Gericht fragt sich erstens, ob nach Art. 83 DSGVO die Möglichkeit bestehen muss, eine Geldbuße gegen eine juristische Person zu verhängen, ohne dass der Verstoß gegen die DSGVO zuvor einer identifizierten natürlichen Person zugerechnet wird. In diesem Zusammenhang möchte es wissen, welche Relevanz der Begriff „Unternehmen“ im Sinne von Art. 101 und 102 AEUV hat.
Hierzu legt es dar, dass gemäß einer nationalen Rechtsprechung das nach nationalem Recht bestehende Regime der limitierten Haftung juristischer Personen dem in Art. 83 DSGVO geregelten Regime der unmittelbaren Unternehmenshaftung widerspreche. Dieser Rechtsprechung zufolge ergebe sich u. a. aus dem Wortlaut von Art. 83 DSGVO, der gemäß dem Grundsatz des Vorrangs des Unionsrechts Vorrang vor dem nationalen System habe, dass Geldbußen gegen Unternehmen verhängt werden könnten. Es sei daher entgegen den Anforderungen des anwendbaren nationalen Rechts nicht erforderlich, bei der Verhängung solcher Geldbußen an eine schuldhafte Handlung der Organe oder Leitungspersonen juristischer Personen anzuknüpfen.
Diese Rechtsprechung messe nämlich ebenso wie die Mehrheit der nationalen Rechtsliteratur dem Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV und damit dem Gedanken, dass die Haftung der wirtschaftlichen Einheit zugewiesen werde, in der das unerwünschte, z. B. wettbewerbswidrige, Marktverhalten entstanden sei, besondere Bedeutung bei. Nach diesem funktionalen Verständnis seien alle Handlungen aller berechtigt für ein Unternehmen handelnder Bediensteter dem Unternehmen auch bußgeldrechtlich zuzurechnen.
Für den Fall, dass der Gerichtshof der Auffassung sein sollte, dass die Möglichkeit bestehen muss, eine Geldbuße unmittelbar gegen eine juristische Person zu verhängen, möchte das vorlegende Gericht zweitens wissen, welche Kriterien für die Feststellung heranzuziehen sind, dass eine juristische Person als Unternehmen für einen Verstoß gegen die DSGVO verantwortlich ist. Insbesondere möchte es wissen, ob nach Art. 83 DSGVO eine Geldbuße gegen eine juristische Person verhängt werden kann, ohne dass nachgewiesen ist, dass der ihr zugerechnete Verstoß gegen die DSGVO schuldhaft begangen wurde.
Unter diesen Umständen hat das Kammergericht Berlin beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass er den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des dem § 30 OWiG zugrunde liegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?
Falls die erste Frage bejaht wird: Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung [EG] Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln [(ABl. 2003, L 1, S. 1)], oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?
Zum Antrag auf Wiedereröffnung der mündlichen Verhandlung
Im Anschluss an die mündliche Verhandlung vom 17. Januar 2023 hat DW mit am 23. März 2023 bei der Kanzlei des Gerichtshofs eingegangenem Schriftsatz die Wiedereröffnung des mündlichen Verfahrens gemäß Art. 83 der Verfahrensordnung des Gerichtshofs beantragt.
Sie begründet ihren Antrag im Wesentlichen damit, dass mit den Antworten des vorlegenden Gerichts auf das Ersuchen um Klarstellung, das gemäß Art. 101 der Verfahrensordnung an das vorlegende Gericht gerichtet worden sei, dem Gerichtshof unzutreffende Informationen über die anwendbaren Bestimmungen des nationalen Rechts mitgeteilt worden seien. In der mündlichen Verhandlung vom 17. Januar 2023 sei es jedoch nicht möglich gewesen, dieses Thema umfassend zu erörtern, da die Parteien von diesen Antworten erst drei Werktage vor der mündlichen Verhandlung Kenntnis genommen hätten. Dieser Zeitraum sei nämlich nicht ausreichend gewesen, die mündliche Verhandlung gründlich vorzubereiten.
Zwar kann der Gerichtshof gemäß Art. 83 seiner Verfahrensordnung jederzeit nach Anhörung des Generalanwalts die Wiedereröffnung des mündlichen Verfahrens beschließen, insbesondere dann, wenn er sich für unzureichend unterrichtet hält, wenn eine Partei nach Abschluss des mündlichen Verfahrens eine neue Tatsache unterbreitet hat, die von entscheidender Bedeutung für die Entscheidung des Gerichtshofs ist, oder wenn ein zwischen den Beteiligten nicht erörtertes Vorbringen entscheidungserheblich ist.
Im vorliegenden Fall verfügt der Gerichtshof jedoch über alle Informationen, die für seine Entscheidung erforderlich sind, und es ist kein Vorbringen entscheidungserheblich, das nicht zwischen den Beteiligten erörtert worden wäre. Der Antrag auf Wiedereröffnung des mündlichen Verfahrens enthält auch keine neue Tatsache, die von entscheidender Bedeutung für die Entscheidung wäre, die der Gerichtshof in der vorliegenden Rechtssache zu treffen hat.
Der Gerichtshof gelangt deshalb nach Anhörung des Generalanwalts zu der Auffassung, dass kein Grund besteht, die Wiedereröffnung des Verfahrens zu beschließen.
Zu den Vorlagefragen
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Vorab ist darauf hinzuweisen, dass die deutsche Regierung in ihren schriftlichen Erklärungen Zweifel an dieser Auslegung des nationalen Rechts durch das vorlegende Gericht geäußert hat, da § 130 OWiG erlaube, auch außerhalb der von § 30 OWiG erfassten Fälle eine Geldbuße gegen eine juristische Person zu verhängen. Des Weiteren sei es nach diesen beiden Bestimmungen möglich, eine sogenannte „anonyme“ Geldbuße in einem Verfahren gegen das Unternehmen festzusetzen, ohne dass eine natürliche Person als Täter des fraglichen Verstoßes identifiziert werden müsse.
In Beantwortung eines in Rn. 28 des vorliegenden Urteils genannten Ersuchens um Klarstellung an das vorlegende Gericht hat dieses ausgeführt, dass § 130 OWiG keinen Einfluss auf die erste Vorlagefrage habe.
Normadressat dieser Bestimmung sei nämlich der Inhaber eines Betriebs oder Unternehmens, der eine Aufsichtspflicht schuldhaft verletzt haben müsse. Der Nachweis einer solchen dem Unternehmensinhaber zur Last fallenden Pflichtverletzung sei jedoch überaus komplex und häufig unmöglich. Die Frage, ob eine Gruppe von Unternehmen als „Unternehmen“ bzw. „Unternehmensinhaber“ im Sinne dieser Bestimmung eingestuft werden könnten, sei auf nationaler Ebene umstritten. Jedenfalls sei die erste Vorlagefrage auch in diesem Zusammenhang relevant.
Es ist darauf hinzuweisen, dass der Gerichtshof in Bezug auf die Auslegung von Bestimmungen des nationalen Rechts grundsätzlich gehalten ist, die sich aus der Vorlageentscheidung ergebenden rechtlichen Würdigungen zugrunde zu legen. Nach ständiger Rechtsprechung ist der Gerichtshof nämlich nicht befugt, das innerstaatliche Recht eines Mitgliedstaats auszulegen (Urteil vom 26. Januar 2021, Hessischer Rundfunk, C-422/19 und C-423/19, EU:C:2021:63, Rn. 31 und die dort angeführte Rechtsprechung).
Daher ist bei der Beantwortung der ersten Vorlagefrage die Annahme zugrunde zu legen, dass nach dem anwendbaren nationalen Recht eine Geldbuße wegen eines Verstoßes gemäß Art. 83 Abs. 4 bis 6 DSGVO gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur unter den in § 30 OWiG bestimmten Voraussetzungen, wie sie das vorlegende Gericht dargelegt hat, verhängt werden kann.
Zur Beantwortung der ersten Vorlagefrage ist zunächst festzustellen, dass sich die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten insbesondere an „Verantwortliche“ richten. Deren Verantwortung und Haftung erstreckt sich nach den Ausführungen im 74. Erwägungsgrund der DSGVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür bildet, nach Art. 83 DSGVO eine Geldbuße gegen den Verantwortlichen zu verhängen.
In Art. 4 Nr. 7 DSGVO ist der Begriff „Verantwortlicher“ weit definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Das Ziel dieser weiten Definition des Art. 4 Nr. 7 DSGVO – die ausdrücklich auch juristische Personen einschließt – besteht im Einklang mit dem Ziel der DSGVO darin, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. in diesem Sinne Urteile vom 29. Juli 2019, Fashion ID, C-40/17, EU:C:2019:629, Rn. 66, und vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 73 sowie die dort angeführte Rechtsprechung).
Des Weiteren hat der Gerichtshof bereits entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als Verantwortlicher angesehen werden kann (vgl. in diesem Sinne Urteil vom 10. Juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, Rn. 68).
Somit ergibt sich aus dem Wortlaut und dem Zweck von Art. 4 Nr. 7 DSGVO, dass der Unionsgesetzgeber bei der Bestimmung der Haftung nach der DSGVO nicht zwischen natürlichen und juristischen Personen unterschieden hat, da die einzige Voraussetzung für diese Haftung darin besteht, dass diese Personen allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
Vorbehaltlich der Bestimmungen von Art. 83 Abs. 7 DSGVO betreffend Behörden und öffentliche Stellen haftet daher jede Person, die diese Voraussetzung erfüllt – unabhängig davon, ob es sich um eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle handelt – u. a. für jeden in Art. 83 Abs. 4 bis 6 der DSGVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde.
In Bezug auf juristische Personen bedeutet dies zum einen, wie der Generalanwalt in den Nrn. 57 bis 59 seiner Schlussanträge im Wesentlichen festgestellt hat, dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. Zum anderen muss es möglich sein, die in Art. 83 DSGVO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können.
Sodann legt Art. 58 Abs. 2 DSGVO die Befugnisse der Aufsichtsbehörden zum Erlass von Abhilfemaßnahmen genau fest, ohne auf das Recht der Mitgliedstaaten zu verweisen oder den Mitgliedstaaten einen Ermessensspielraum einzuräumen. Zum einen zielen diese Befugnisse, zu denen gemäß Art. 58 Abs. 2 Buchst. i DSGVO die Befugnis zur Verhängung von Geldbußen gehört, auf den Verantwortlichen ab, und zum anderen kann ein solcher Verantwortlicher, wie aus Rn. 39 des vorliegenden Urteils hervorgeht, sowohl eine natürliche als auch eine juristische Person sein. Die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer solchen Geldbuße zu beachten hat, sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten aufgeführt.
Somit ergibt sich aus der Zusammenschau von Art. 4 Nr. 7, Art. 83 und Art. 58 Abs. 2 Buchst. i DSGVO, dass eine Geldbuße wegen eines Verstoßes gemäß Art. 83 Abs. 4 bis 6 DSGVO auch gegen juristische Personen verhängt werden kann, sofern sie die Eigenschaft eines Verantwortlichen haben. Dagegen gibt es in der DSGVO keine Bestimmung, die die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängig macht, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde.
Zwar ergibt sich aus Art. 58 Abs. 4 und Art. 83 Abs. 8 DSGVO im Licht des 129. Erwägungsgrundes der DSGVO, dass die Ausübung der Befugnisse, über die die Aufsichtsbehörde gemäß diesen Artikeln verfügt, angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss.
Die Tatsache, dass die DSGVO den Mitgliedstaaten somit die Möglichkeit einräumt, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, bedeutet jedoch keineswegs, dass sie auch befugt wären, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzusehen, die zu den in Art. 83 Abs. 1 bis 6 DSGVO geregelten hinzutreten. Des Weiteren wird durch den Umstand, dass der Unionsgesetzgeber eigens und ausdrücklich diese Möglichkeit vorgesehen hat, aber nicht diejenige, solche zusätzlichen materiellen Voraussetzungen festzulegen, bestätigt, dass er den Mitgliedstaaten insoweit keinen Ermessensspielraum gelassen hat. Für diese materiellen Voraussetzungen gilt daher ausschließlich das Unionsrecht.
Die vorstehende wörtliche Auslegung von Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DSGVO wird durch den Zweck der DSGVO bestätigt.
Insbesondere geht aus dem zehnten Erwägungsgrund der DSGVO hervor, dass deren Bestimmungen u. a. die Ziele haben, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. In den Erwägungsgründen 11 und 129 der DSGVO wird außerdem das Erfordernis betont, zur Sicherstellung einer einheitlichen Anwendung der DSGVO sicherzustellen, dass die Aufsichtsbehörden über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie über gleiche Sanktionen im Fall von Verstößen gegen die DSGVO verfügen.
Es liefe diesem Zweck der DSGVO jedoch zuwider, den Mitgliedstaaten zu gestatten, einseitig und als erforderliche Voraussetzung für die Verhängung einer Geldbuße gemäß Art. 83 DSGVO gegen einen Verantwortlichen, der eine juristische Person ist, zu verlangen, dass der betreffende Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde oder ihr zuzurechnen ist. Außerdem könnte eine solche zusätzliche Anforderung letztlich unter Verstoß gegen Art. 83 Abs. 1 DSGVO die Wirksamkeit und die abschreckende Wirkung von Geldbußen schwächen, die gegen juristische Personen als Verantwortliche verhängt werden.
Nach Art. 288 Abs. 2 AEUV ist eine Unionsverordnung in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat, so dass es, sofern nichts anderes bestimmt ist, ausgeschlossen ist, dass die Mitgliedstaaten innerstaatliche Vorschriften erlassen, die die Tragweite einer solchen Verordnung beeinträchtigen. Außerdem dürfen die Mitgliedstaaten aufgrund der ihnen aus dem AEU-Vertrag obliegenden Verpflichtungen die unmittelbare Geltung, die den Verordnungen innewohnt, nicht vereiteln. Insbesondere dürfen sie keine Handlung vornehmen, durch die die unionsrechtliche Natur einer Rechtsvorschrift und die sich daraus ergebenden Wirkungen den Einzelnen verborgen würden (Urteil vom 15. November 2012, Al-Aqsa/Rat und Niederlande/Al-Aqsa, C-539/10 P und C-550/10 P, EU:C:2012:711, Rn. 86 und 87 sowie die dort angeführte Rechtsprechung).
Schließlich ist mit Blick auf die Fragen des vorlegenden Gerichts festzustellen, dass der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV ohne Bedeutung für die Frage ist, ob und unter welchen Voraussetzungen eine Geldbuße nach Art. 83 der DSGVO gegen einen Verantwortlichen verhängt werden kann, der eine juristische Person ist, da diese Frage in Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DSGVO abschließend geregelt ist.
Dieser Begriff ist nämlich nur relevant, um die Höhe einer Geldbuße zu bestimmen, die gemäß Art. 83 Abs. 4 bis 6 DSGVO gegen einen Verantwortlichen verhängt wird.
Wie der Generalanwalt in Nr. 45 seiner Schlussanträge ausgeführt hat, ist der Verweis im 150. Erwägungsgrund der DSGVO auf den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV in diesem speziellen Zusammenhang der Berechnung von Geldbußen, die für in Art. 83 Abs. 4 bis 6 DSGVO genannte Verstöße verhängt werden, zu verstehen.
Dieser Unternehmensbegriff umfasst für die Zwecke der Anwendung der in den Art. 101 und 102 AEUV niedergelegten Wettbewerbsregeln jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit, auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht. Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt (Urteil vom 6. Oktober 2021, Sumal, C-882/19, EU:C:2021:800, Rn. 41 und die dort angeführte Rechtsprechung).
So ergibt sich aus Art. 83 Abs. 4 bis 6 DSGVO, der die Berechnung der Geldbußen für die in diesen Absätzen aufgeführten Verstöße betrifft, dass, wenn der Adressat der Geldbuße ein Unternehmen im Sinne der Art. 101 und 102 AEUV ist oder einem solchen angehört, der Höchstbetrag für die Geldbuße auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des betreffenden Unternehmens berechnet wird.
Letztlich kann, wie der Generalanwalt in Nr. 47 seiner Schlussanträge ausgeführt hat, nur eine Geldbuße, deren Höhe anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Adressaten von der Aufsichtsbehörde unter Zugrundelegung des Begriffs der wirtschaftlichen Einheit im Sinne der in Rn. 56 des vorliegenden Urteils angeführten Rechtsprechung festgesetzt wird, die drei in Art. 83 Abs. 1 DSGVO genannten Voraussetzungen erfüllen, sowohl wirksam und verhältnismäßig als auch abschreckend zu sein.
Daher ist eine Aufsichtsbehörde, wenn sie aufgrund ihrer Befugnisse nach Art. 58 Abs. 2 DSGVO beschließt, gegen einen Verantwortlichen, der ein Unternehmen im Sinne der Art. 101 und 102 AEUV ist oder einem solchen angehört, eine Geldbuße gemäß Art. 83 DSGVO zu verhängen, nach Art. 83 im Licht des 150. Erwägungsgrundes der DSGVO verpflichtet, bei der Berechnung der Geldbußen für die in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße den Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV zugrunde zu legen.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Zur zweiten Frage
Mit seiner zweiten Frage, die für den Fall gestellt wird, dass die erste Frage bejaht wird, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 83 DSGVO dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Insoweit ist darauf hinzuweisen, dass nach Art. 83 Abs. 1 DSGVO Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Dagegen enthält Art. 83 DSGVO keine ausdrückliche Klarstellung, dass die in seinen Abs. 4 bis 6 genannten Verstöße nur dann mit einer solchen Geldbuße geahndet werden können, wenn sie vorsätzlich oder zumindest fahrlässig begangen wurden.
Die deutsche, die estnische und die norwegische Regierung sowie der Rat der Europäischen Union leiten daraus u. a. ab, dass der Unionsgesetzgeber den Mitgliedstaaten bei der Umsetzung von Art. 83 DSGVO einen gewissen Ermessensspielraum lassen wollte, der es ihnen ermöglicht, gegebenenfalls die Verhängung von Geldbußen nach dieser Bestimmung vorzusehen, ohne dass der Nachweis erbracht wurde, dass der mit dieser Geldbuße geahndete Verstoß gegen die DSGVO vorsätzlich oder fahrlässig begangen wurde.
Einer solchen Auslegung von Art. 83 DSGVO kann nicht gefolgt werden.
Wie in den Rn. 45 und 48 des vorliegenden Urteils ausgeführt, gilt für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht. Diese Voraussetzungen sind in Art. 83 Abs. 1 bis 6 DSGVO genau festgelegt und lassen den Mitgliedstaaten keinen Ermessensspielraum (vgl. auch Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:XXX, Rn. 64 bis 70).
Zu diesen Voraussetzungen ist festzustellen, dass Art. 83 Abs. 2 DSGVO die Kriterien anführt, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Kriterien gehört nach Buchst. b dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Dagegen deutet keines der in der genannten Bestimmung aufgeführten Kriterien auf eine Möglichkeit hin, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen.
Zudem ist der zweite Absatz von Art. 83 DSGVO in Verbindung mit seinem dritten Absatz zu lesen, der bestimmt, welche Folgen bei der Kumulierung von Verstößen gegen die DSGVO eintreten, und wie folgt lautet: „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.“
Aus dem Wortlaut von Art. 83 Abs. 2 DSGVO ergibt sich somit, dass nur Verstöße gegen die Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d. h. vorsätzlich oder fahrlässig, begeht, zur Verhängung einer Geldbuße gegen ihn nach diesem Artikel führen können.
Die allgemeine Systematik und der Zweck der DSGVO bestätigen diese Lesart.
Zum einen hat der Unionsgesetzgeber ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, je nach den Umständen des Einzelfalls die geeignetste Sanktion zu verhängen.
Art. 58 Abs. 2 Buchst. i der DSGVO bestimmt nämlich, dass die Aufsichtsbehörden befugt sind, eine Geldbuße gemäß Art. 83 DSGVO „zusätzlich zu oder anstelle von“ anderen in Art. 58 Abs. 2 genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Ebenso heißt es im 148. Erwägungsgrund dieser Verordnung u. a., dass es den Aufsichtsbehörden gestattet ist, im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen.
Zum anderen haben die Bestimmungen der DSGVO, wie in Rn. 50 des vorliegenden Urteils ausgeführt, u. a. die Ziele, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. Zur Sicherstellung einer einheitlichen Anwendung der DSGVO müssen die Aufsichtsbehörden zudem über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten verfügen, so dass sie im Fall von Verstößen gegen die DSGVO die gleichen Sanktionen verhängen können.
Ein Sanktionssystem, das es ermöglicht, eine Geldbuße gemäß Art. 83 DSGVO zu verhängen, wenn die besonderen Umstände des Einzelfalls dies rechtfertigen, schafft für Verantwortliche und Auftragsverarbeiter einen Anreiz, der DSGVO nachzukommen. Geldbußen tragen durch ihre abschreckende Wirkung zu einem stärkeren Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bei. Sie sind daher ein Schlüsselelement, um die Wahrung der Rechte dieser Personen zu gewährleisten, und stehen im Einklang mit dem Ziel der DSGVO, ein hohes Schutzniveau für solche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Der Unionsgesetzgeber hat es jedoch nicht für erforderlich gehalten, zur Gewährleistung eines solchen hohen Schutzniveaus vorzusehen, dass Geldbußen verschuldensunabhängig verhängt werden. In Anbetracht dessen, dass die DSGVO auf ein gleichwertiges und einheitliches Schutzniveau abzielt und hierfür in der gesamten Union gleichmäßig angewandt werden muss, liefe es diesem Ziel zuwider, den Mitgliedstaaten zu gestatten, eine solche Regelung für die Verhängung einer Geldbuße nach Art. 83 DSGVO vorzusehen. Eine solche Wahlfreiheit wäre zudem geeignet, den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen, was den vom Unionsgesetzgeber u. a. in den Erwägungsgründen 9 und 13 der DSGVO dargestellten Zielen zuwiderliefe.
Demnach ist festzustellen, dass Art. 83 DSGVO es nicht gestattet, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 genannten Verstoßes zu verhängen, ohne dass nachgewiesen ist, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist Voraussetzung für die Verhängung einer solchen Geldbuße, dass der Verstoß schuldhaft begangen wurde.
Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker & Co. u. a., C-681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C-591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C-601/16 P, EU:C:2021:244, Rn. 97).
Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. entsprechend Urteile vom 7. Juni 1983, Musique Diffusion française u. a./Kommission,100/80 bis 103/80, EU:C:1983:158, Rn. 97, und vom 16. Februar 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Kommission, C-94/15 P, EU:C:2017:124, Rn. 28 sowie die dort angeführte Rechtsprechung).
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 83 DSGVO dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
sie einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Art. 83 der Verordnung 2016/679
ist dahin auszulegen, dass
nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Lenaerts
Bay Larsen
Arabadjiev
Lycourgos
Regan
von Danwitz
Csehi
Spineanu-Matei
Ilešič
Bonichot
Rossi
Kumin
Jääskinen
Wahl
Gavalec
Verkündet in öffentlicher Sitzung in Luxemburg am 5. Dezember 2023.
Der Kanzler
A. Calot Escobar
Der Präsident
K. Lenaerts
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK NordWest
Persönlicher Ansprechpartner