Deutsche WohnenEuropäischer Gerichtshof klärt Grundsatzfragen beim Datenschutz

Deutsche Wohnen sammelte massenhaft Kopien von Personalausweisen, Kontoauszügen und anderen sensiblen Dokumenten von Mieter:innen. Im Streit um ein Rekordbußgeld der Berliner Datenschutzbehörde klärte der Europäische Gerichtshof nun gleich zwei Grundsatzfragen.

Blick aus Fenster auf Wohnungen
Die Deutsche Wohnen hat sensible Daten ihrer Mieter:innen über Jahre gespeichert, auch wenn es dazu keinen Grund gab. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Florencia Viadana

Darf ein ganzes Unternehmen als juristische Person mit einem Bußgeld belegt werden, wenn es jahrelang zu Unrecht sensible Daten und Dokumente von Mieter:innen gehortet hat? Ja, darf es, urteilte jetzt der Europäische Gerichtshof im Fall des Wohnungskonzerns Deutsche Wohnen.

Nach jahrelangem Streit ist damit die Rechtsauffassung der Berliner Datenschutzbehörde bestätigt. Sie hatte 2019 ein Rekordbußgeld gegen die Deutsche Wohnen verhängt, weil das Unternehmen Unterlagen von Mieter:innen wie Kontoauszüge, Personalausweise oder Gehaltsnachweise in einer Datenbank sammelte – und auch nach mehrfacher Aufforderung der Behörde nicht löschte.

Das Gericht stellte aber auch fest: Ein Bußgeld darf die Aufsichtsbehörde nur dann verhängen, wenn der Verstoß schuldhaft war. Dazu muss er vorsätzlich oder fahrlässig begangen werden.

Urteil mit Strahlkraft

Die Deutsche Wohnen hatte Widerspruch gegen den Bescheid eingelegt. Und hatte damit Erfolg: Das Landgericht Berlin hatte den Bußgeldbescheid in einem Beschluss für nichtig erklärt. Nicht etwa, weil die Datenschutzverstöße des DAX-Unternehmens strittig gewesen wären, sondern aus formalen Gründen: Nach der Rechtsauffassung des Landgerichts Berlin könnten juristische Personen wie Deutsche Wohnen nur dann bestraft werden, wenn einem konkreten Verantwortlichen, also einer natürlichen Person, bei der Firma Fehlverhalten nachgewiesen werden kann. Das aber hatte die Datenschutzaufsicht in ihrem Bescheid nicht getan.

Das Kammergericht Berlin hatte die Sache vom Europäischen Gerichtshof in Luxemburg prüfen lassen. Es müsse geklärt werden, ob nur das Fehlverhalten einzelner Verantwortlicher zu Bußgeldern führen könne.

Die Antwort aus Luxemburg ist nun da und fällt deutlich aus. „Für eine direkte Sanktionierung des Unternehmens reicht der europäischen Rechtsprechung zufolge die Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen. Es bedarf noch nicht einmal einer Kenntnis der Leitungspersonen von dem Verstoß“, fasst die Berliner Aufsichtsbehörde das Urteil in einer Mitteilung zusammen.

Das Urteil ist damit nicht nur ein Erfolg für die Berliner Datenschutzbehörde – es hat auch eine Grundsatzfrage geklärt. Bereits 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) darauf hingewiesen, dass die nationalen Haftungsregeln in Deutschland nicht im Einklang mit den Datenschutzregeln der EU standen.

„Erforderliche Rechtssicherheit“

Meike Kamp, die vor etwas über einem Jahr den Posten der Berliner Datenschutzbeauftragten übernommen hat, begrüßt die Entscheidung: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen war in Deutschland gegenüber anderen EU-Mitgliedstaaten deutlich erschwert. Dies widersprach dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und stand nicht im Einklang mit der Datenschutzgrundverordnung.“ Gerade bei großen Konzernen sei es schwierig, eine konkrete Person festzustellen, die verantwortlich ist. Nun gebe es Rechtssicherheit – für Aufsichtsbehörden und Unternehmen gleichermaßen.

Auch die juristischen Vertreter der Deutsche Wohnen begrüßten das Urteil: „Wir freuen uns, dass der Europäische Gerichtshof nun klargestellt hat, dass nur ein vorsätzlicher oder fahrlässiger Verstoß gegen die DSGVO zu einem Bußgeld führen kann“, sagte eine damit befasste Anwaltskanzlei gegenüber LTO.

Das Kammergericht Berlin muss nun entscheiden und das Urteil aus Luxemburg dazu berücksichtigen.

2 Ergänzungen

  1. Die Befugnisse der (Berliner) Datenschutzbeauftragten sind also immer noch nicht gemäß EU-Recht nachgebessert worden – ein Glück, dass es den EUGH gibt.
    Aber schön wäre auch, wenn mein Land in dieser Sache freundlicherweise beginnen würde, sich an geltendes Recht zu halten,
    und ENDLICH die Befugnisse der Datenschutzbeauftragten gesetzlich in Ordnung brächte:

    https://netzpolitik.org/2021/eu-datenschutzrichtlinie-fuer-strafverfolgung-deutschland-hat-die-frist-laengst-ueberschritten/
    https://netzpolitik.org/2022/eklatant-rechtswidrig-doppelte-ruege-der-datenschutzbeauftragten-fuer-die-berliner-polizei/

    2016 (EU-Richtlinie zum Datenschutz bei Justiz und Strafverfolgung)! so alt ist das Thema schon !

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.