06. Dezember, 2023
An dieser Stelle haben wir vor genau vier Jahren und einem Monat berichtet, dass wegen eines Datenfriedhofs im Keller ein Bußgeld gegen die Deutsche Wohnen in Millionenhöhe verhängt wurde.
Was war passiert?
Hintergrund für die Verhängung des Bußgeldes war Folgender: Bei einer Vor-Ort-Prüfung im Juni 2017 durch die Datenschutzbehörde wurde festgestellt, dass das Unternehmen ein Archivsystem verwandte, das keine Möglichkeit vorsah, Daten zu entfernen. In den Kellern befanden sich Mieterakten aus den 50er und 60er Jahren. Bei einem weiteren Vor-Ort-Termin im März 2019 war der Missstand trotz eindringlicher Aufforderung noch nicht behoben worden.
Im Jahresbericht 2019 der Berliner Beauftragten für Datenschutz und Informationsfreiheit heißt es: „Eine ausufernde Speicherpraxis kann nicht wegen vermeintlich bestehender Pflichten zur Aufbewahrung personenbezogener Daten gerechtfertigt werden. Auch große Unternehmen, die aufgrund ihres Geschäftsmodells eine Vielzahl von Daten verarbeiten, müssen den gegebenenfalls hohen Aufwand für die Kategorisierung dieser Daten, die Schaffung der technischen Voraussetzungen zur Ermöglichung der rechtlich geforderten Löschung und für die Umsetzung bestehender Löschpflichten in Kauf nehmen. Das Anlegen von „Datenfriedhöfen“, wie im vorliegenden Fall, entspricht regelmäßig nicht den Anforderungen an technische und organisatorische Maßnahmen, deren Umsetzung die DSGVO zum Schutz Betroffener vorsieht, und stellt auch im Einzelfall keine rechtmäßige Verarbeitung personenbezogener Daten dar.“
Was sagten die Berliner Gerichte?
Das Landgericht Berlin hob den Bußgeldbescheid auf. Es stellte dabei auf §§ 30 und 130 OWiG ab. Folglich soll kein Bußgeld gegen ein Unternehmen verhängen werden können, ohne ein schuldhaftes Handeln einer Führungskraft (§ 30 OWiG) oder eine fahrlässige Unterlassung von Aufsichtsmaßnahmen nachweisen (§130 OWiG) zu können.
Dies nahm die Staatsanwaltschaft Berlin nicht hin und ging zum Kammergericht, dies sah das anders und fragte beim EuGH nach.
Was sagt Europa?
Gestern nun hat der EuGH entschieden:
Zunächst wichtig und richtig: Es kann auch nach der DS-GVO auch nur dann ein Bußgeld verhängt werden, wenn überhaupt schuldhaftes Verhalten vorliegt. Irgendjemand im Unternehmen bzw. „das Unternehmen“ muss also beim Datenschutzverstoß vorsätzlich oder fahrlässig gehandelt haben.
Aber für die Verhängung eines Bußgelds gegen ein Unternehmen (Verantwortliche = juristische Person) ist es nicht erforderlich, den Verstoß einer identifizierten natürlichen Person zuzurechnen.
Welche wichtige Erkenntnis folgt für uns?
Nationales Recht findet keine Anwendung bei den abschließenden Bußgeldregelungen aus der DSGVO. Dies darf als Vereinfachung der Rechtsanwendung und vor allem Vereinheitlichung im europäischen Raum angesehen werden.
Wie dies von den deutschen Gerichten umgesetzt wird, bleibt abzuwarten. Gewöhnlich beschäftigen sich Amtsrichter mit den Ordnungswidrigkeiten nach der DS-GVO, die sonst über Verkehrsverstöße urteilen.
Autorin: Katharina Gündel, GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay