EUGH: Schlussanträge des Generalanwalts im Fall „Deutsche Wohnen“ veröffentlicht

In diesem Verfahren geht es im Rahmen des Vorlageersuchens des KG Berlin um folgende Fragen, die Generalanwalt nunmehr am 27. April 2023 im Rahmen der Schlussanträge (C-807/21) beantwortet hat:

Frage 1

1.      Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass er den den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?

Dazu äußert sich der Generalanwalt klar und sieht eine unmittelbare Verantwortlichkeit eines Unternehmens im Sinne der DSGVO als Ansprechpartner in einem Bußgeldverfahren als gegeben an. Unter anderem führt er aus:

„…Eine juristische Person, die als für die Verarbeitung personenbezogener Daten Verantwortliche oder als Auftragsverarbeiterin eingestuft werden kann, muss die Folgen – in Gestalt von Sanktionen – von Verstößen gegen die DSGVO nicht nur tragen, wenn diese von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch, wenn die Verstöße von natürlichen Personen (Mitarbeitern im weiteren Sinne) begangen wurden, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln.

58.      In Wirklichkeit bilden und definieren jene natürlichen Personen den Willen der juristischen Person, indem sie ihm durch individuelle und konkrete Handlungen Ausdruck verleihen. Diese individuellen Handlungen als konkreter Ausdruck jenes Willens sind letztlich der juristischen Person selbst zuzurechnen.

59.      Es handelt sich schließlich um natürliche Personen, die zwar nicht selbst Vertreter einer juristischen Person sind, aber unter der Aufsicht derjenigen handeln, die Vertreter der juristischen Person sind und die eine unzureichende Überwachung oder Kontrolle über die zuerst genannten Personen ausgeübt haben. Letzten Endes führt die Zurechenbarkeit zu der juristischen Person selbst, soweit der Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind.

60.      Die vorstehenden Erwägungen entsprechen der Auslegung des innerstaatlichen Rechts durch das vorlegende Gericht. Allerdings trägt die deutsche Regierung vor, durch die gemeinsame Anwendung der §§ 9, 30 und 130 OWiG entstehe ein System, dass die Sanktion von einer juristischen Person zuzurechnenden Verstößen ermögliche, die von natürlichen Personen ohne Leitungs- oder Vertretungsfunktion begangen worden seien, ohne dass diese Personen identifiziert werden müssten.

61.      Wie bereits ausgeführt, ist es Sache des vorlegenden Gerichts, die Bestimmungen seines nationalen Rechts auszulegen. Ob diese Bestimmungen nach der von der deutschen Regierung angeführten nationalen Rechtsprechung und Rechtslehre eine Auslegung des nationalen Rechts zulassen, die den Anforderungen des Unionsrechts entspricht, ist eine Frage, deren Beantwortung Sache der nationalen Gerichte ist.

62.      Wäre eine solche Auslegung contra legem und aufgrund der besonderen Struktur des nationalen Sanktionssystems unmöglich, müsste das vorlegende Gericht, um den einschlägigen Vorschriften der DSGVO in diesem Bereich zu voller Geltung zu verhelfen, die mit dem Unionsrecht unvereinbare nationale Vorschrift unangewendet lassen, um den Vorrang der DSGVO zu gewährleisten…“

Frage 2

2.      Falls die erste Frage bejaht wird: Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss [vgl. Art. 23 der Verordnung (EG) Nr. 1/2003](4), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

Hier sieht der Generalanwalt ein vorsätzliches oder fahrlässiges Verhalten als Voraussetzung. Er führt unter anderem aus:

„…Jedenfalls spricht Art. 83 DSGVO meines Erachtens gegen ein System der objektiven (verschuldensunabhängigen) Verantwortlichkeit im Bereich von Sanktionen, d. h., er setzt Vorsatz oder Fahrlässigkeit bei der strafbaren Handlung voraus. Dies ergibt sich meines Erachtens aus mehreren seiner Absätze:

—      Nach Abs. 1 ist dafür Sorge zu tragen, dass die für Verstöße verhängten Geldbußen „verhältnismäßig“ sind. Der Grundsatz der Verhältnismäßigkeit von Sanktionen wird durch Art. 49 der Charta und auch durch die Rechtsprechung des EGMR, auf die ich oben verwiesen habe, gewährleistet.

—      Abs. 2 Buchst. b benennt ausdrücklich die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ als ein für die Verhängung und Bemessung einer Geldbuße maßgebliches Kriterium(31). Die übrigen in den Buchst. a bis k dieses Absatzes aufgeführten Faktoren konkretisieren die im Einzelfall relevanten Umstände, und mehrere davon umfassen ein subjektives Element(32), während ein rein objektiver Verstoß nicht aufgeführt ist.

—      Abs. 3 sieht vor, dass in Fällen, in denen ein Verantwortlicher oder Auftragsverarbeiter „vorsätzlich oder fahrlässig“ gegen mehrere Bestimmungen dieser Verordnung verstößt (Zusammentreffen mehrerer Verstöße), die Höhe der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Daraus ergibt sich somit, dass rein objektive Verstöße für die Sanktion insoweit ohne Bedeutung sind, als sie nicht kumulativ zu vorsätzlichen oder fahrlässigen Verstößen berücksichtigt werden….“