Der Europäische Datenschutzausschuss (EDSA) hat am 12. Mai 2022 Leitlinien zur Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße veröffentlicht (Leitlinien). Die Leitlinien sollen das Bußgeldrecht in den einzelnen EU-Mitgliedstaaten vereinheitlichen. Es ist damit zu rechnen, dass die deutschen Datenschutzaufsichtsbehörden die neuen Vorgaben des EDSA zukünftig bei der Berechnung und Verhängung von Bußgeldern nach Art. 83 EU Datenschutzgrundverordnung (DSGVO) zugrunde legen werden. Der nachstehende Überblick zeigt die wesentlichen Inhalte des neuen Bußgeldkonzepts und seine möglichen Folgen für die Praxis. Weitere Informationen zu den neuen Leitlinien können Sie – mit freundlicher Unterstützung von Legal Tribune Online – auch hier abrufen.

Die wichtigsten Folgen für die Praxis auf einen Blick

  • Abschreckung: Die EDPB-Leitlinien betonen die Notwendigkeit wirksamer und abschreckender GDPR-Bußgelder an einigen Stellen deutlich stärker als die Notwendigkeit von verhältnismäßigen Sanktionen. Vor allem Gedanken der Abschreckung und der wirksamen Ahndung festgestellter Verstöße stehen an vielen Regelungen der Leitlinien im Vordergrund.
  • Umsatz: Ähnlich wie einige frühere nationale DSGVO-Bußgeldkonzepte (etwa das der deutschen Datenschutzbehörden) legt das EDPB-Modell erhebliches Gewicht auf die von einem Konzern oder einem Unternehmen erzielten Einnahmen.
  • Hohe Geldbußen: Für Konzerne oder Unternehmen mit hohen Einnahmen wird das neue Bußgeldmodell des EDPB wahrscheinlich öfter zu Geldbußen am oberen Ende des Strafrahmens führen. Auch im Rahmen von möglichen Verständigungen dürfte entsprechende Forderungen der Behörden bzw. Geldbußen dann deutlich höher ausfallen.
  • Verbindliche Geltung: Die Datenschutzbehörden haben sich darauf verständigt, das EDPB-Bußgeldkonzept verbindlich anzuwenden, aber die Leitlinien lassen einen gewissen Ermessensspielraum bei der Festlegung der Geldbußen zu. Es wird damit für die Datenschutzbehörden schwieriger werden, niedrige Geldbußen gegen für die Verarbeitung Verantwortliche mit hohen Einnahmen zu rechtfertigen. Einige deutsche, aber auch die Datenschutzbehörden Luxemburgs und Irlands beispielsweise werden wahrscheinlich in Kooperations- und Kohärenzverfahren kritisiert werden, wenn sie das EDPB-Modell nicht anwenden.
  • Vorhersehbarkeit: Der Grad der Vorhersehbarkeit von GDPR-Geldbußen auf der Grundlage der EDPB-Leitlinien ist begrenzt, zumindest in Bezug auf Konzerne oder Unternehmen mit kleinen bis mittleren Einnahmen
  • Direkte Unternehmenshaftung: Der EDSB bekräftigt, dass die Datenschutzbehörden der Ansicht sind, dass sie auch Geldbußen gegen andere juristische Personen einer Gruppe, einschließlich Muttergesellschaften, verhängen können und dass es eine “direkte Unternehmenshaftung” gebe, die nicht durch nationales Recht eingeschränkt werden kann
  • Konzernumsatz: Nach dem EDPB-Modell sollen die Geldbußen auf der Grundlage des Umsatzes der gesamten Unternehmensgruppe festgelegt werden, auch wenn eine solche Regelung nach der Rechtsprechung des EuGH eigentlich in einem Erwägungsgrund nicht angeordnet werden kann (vgl. Rechtssache Karen Millen Fashion).

Überblick über wesentliche Inhalte des Bußgeldkonzepts

Die Leitlinien sehen ein sehr komplexes, fünfstufiges Modell zur Berechnung von Bußgeldern vor. Ausgangspunkt der Berechnung ist der sogenannte Starting Point, der sich insbesondere an der Art und Schwere des Datenschutzverstoßes sowie dem Umsatz des Verantwortlichen oder Auftragsverarbeiters orientiert. Die Leitlinien zielen insofern klar auf eine Bebußung von Unternehmen und Konzernen mit einem hohen Umsatz ab. Dazu sehen die Leitlinien eine deutliche Erhöhung von Bußgeldern bei einem jährlichen Umsatz von mehr als 50 Mio. Euro vor.

Dieser Schwellenwert dürfte in der Praxis oftmals erreicht werden. Denn nach Auffassung des EDSA ist der Umsatz eines Unternehmens anhand kartellrechtlicher Grundsätze zu bestimmen. Danach beschränkt sich der Begriff des Unternehmens nicht auf die konkrete juristische Person. Vielmehr ist der Umsatz der sogenannten wirtschaftliche Einheit heranzuziehen, für deren Bestimmung in erster Linie faktische Beherrschungsrechte maßgeblich sind. Damit können unter anderem auch Konzerne und Unternehmensverbände eine wirtschaftliche Einheit bilden. Mögliche Bußgelder sind in diesem Fall anhand des Umsatzes des gesamten Konzerns zu berechnen.

Der EDSA geht in den Leitlinien sogar noch einen Schritt weiter: Nach seiner Auffassung können die Datenschutzaufsichtsbehörden auch unmittelbar Bußgelder gegen Muttergesellschaften für Datenschutzverstöße von Tochtergesellschaften verhängen. Die Leitlinien begründen damit eine Durchgriffshaftung für Datenschutzverstöße im Konzern.

Der EDSA geht zudem davon aus, dass Datenschutzaufsichtsbehörden Bußgelder auch direkt gegen Unternehmen verhängen können. Anders als beispielsweise im deutschen Ordnungswidrigkeitenrecht vorgesehen, verzichtet der EDSA damit bewusst auf den Nachweis einer für den Datenschutzverstoß kausal gewordenen Aufsichtspflichtverletzung einer Leitungsperson des Unternehmens. Auf dieser Basis können Datenschutzaufsichtsbehörden zukünftig deutlich leichter Bußgelder gegen Unternehmen verhängen. Der EDSA weicht insofern von der Auffassung des deutschen Bundesinnenministeriums sowie einiger deutscher Gerichte ab.

Allerdings kommt den nationalen Datenschutzaufsichtsbehörden bei der Berechnung und Verhängung von Bußgeldern weiterhin ein großer Ermessensspielraum zu. Ausweislich der Leitlinien sollen die Aufsichtsbehörden hierbei aber sicherstellen, dass Bußgelder stets abschreckend und wirksam sind. Den Grundsatz der Verhältnismäßigkeit betont der EDSA hingegen deutlich weniger.

Ausblick und mögliche Folgen für die Praxis

Interessierte Personen, Vereinigungen und Unternehmen können bis zum 27. Juni 2022 Anmerkungen zu den Leitlinien einreichen. Es lässt sich derzeit noch nicht belastbar abschätzen, ob der EDSA entsprechende Eingaben berücksichtigen wird. Die Erfahrungen aus bisherigen Öffentlichkeitsverfahren deuten aber darauf hin, dass der EDSA die Grundkonzeption des neuen Bußgeldkonzepts nicht mehr wesentlich anpassen wird.

Unternehmen sind daher gut beraten, sich bereits jetzt auf mögliche Bußgeldverfahren wegen Datenschutzverstößen vorzubereiten. Es ist damit zu rechnen, dass auch solche Datenschutzaufsichtsbehörden, die bei der Verhängung von Bußgeldern bislang eher zurückhalten waren, zukünftig deutliche höhere Bußgelder verhängen könnten. Dies gilt insbesondere in grenzüberschreitenden Verfahren. Im Rahmen möglicher Kooperations- und Kohärenzverfahren dürften die anderen Datenschutzaufsichtsbehörden auf schärfere Sanktionen dringen. Für Aufsichtsbehörden wird es entsprechend deutlich schwieriger, niedrigere Bußgelder zu rechtfertigen. Einen Überblick über die von den deutschen Aufsichtsbehörden in 2021 verhängten Bußgelder können Sie hier abrufen.

Um sich auf mögliche Bußgeldverfahren vorzubereiten, sollten Unternehmen mögliche Schwachstellen im Datenschutz umgehend identifizieren und beheben. Dies sollte in enger Abstimmung mit dem Management des Unternehmens und den relevanten internen Abteilungen erfolgen. Einen weitergehenden Überblick über mögliche Verteidigungsstrategien gegen DSGVO-Bußgelder können Sie hier abrufen. Der hier hinterlegte Beitrag zeigt zudem, wie man sich als Unternehmen bei möglichen Datenpannen und Cyberangriffen effektiv gegen mögliche DSGVO-Risiken verteidigen kann.

By Dr. Torsten Volkholz, Otto-Philipp von Gruben, and Sven Nickel

This week, the Federal Court of Justice (BGH) issued its eagerly awaited judgment on rent payment obligations during COVID-related business closures. The judgment eases, at least in part, landlords and tenants’ uncertainty about who bears the risk of official restrictions on use — namely, not one lease party alone.

The judgment[i] is of particular importance for all commercial leases, as the BGH sets out guidelines for COVID-related rent reductions that can be applied to all industries affected by government closures during the pandemic. The BGH determined that — consistent with legislative intent (Art. 240 § 7 of the Introductory Act to the German Civil Code (EGBGB)) — COVID-related business closures were a disruption of the business basis (Störung der Geschäftsgrundlage) pursuant to § 313 German Civil Code (BGB). This disruption could lead to a rent adjustment, but this depends on a case-by-case examination of all circumstances and facts as well as the contractual and legal distribution of risk as to whether it is reasonable (zumutbar) for the tenant to adhere to the unchanged lease payments falling due whilst the lease property is closed. In any case, the BGH states that the risk of disappointed profit expectations of the tenant based on COVID-related business closures goes beyond the tenant´s ordinary risk of use, since the pandemic has resulted in the realisation of a general risk of life that cannot be assigned to one contracting party alone.

The BGH alleviated tenants and landlords’ uncertainty about the distribution of risk from the parties to the lease. However, despite the judgment, assessing whether tenants can actually demand rent adjustments is not altogether easier, because, ultimately, each case must be examined on its own merit.

What is the impact on landlords and tenants?

The judgment impacts all current non-residential leases that were affected by COVID-related business closures.

From a landlord’s point of view, the judgment is disadvantageous insofar as the BGH has now established that tenants are not the only parties who must bear the risk caused by the pandemic. However, since the BGH rejected a blanket 50% rent reduction — as ruled by the previous instance — and a comprehensive consideration of all circumstances of the individual case is required to assess a rent adjustment, tenant are still required to prove that the concrete economic disadvantages have reached a level that justifies an adjustment. Landlords who have received conditional rent payments during a lockdown, or who have had their rent deferred or not paid, must be prepared for complex legal proceedings in which tenants will disclose their entire economic situation for the unreasonableness assessment, after which the landlord must represent their own interests.

To mitigate lingering uncertainties, it is advisable for lease parties to “sit down at the table” out of court (with a legal advisor) and consider and agree on mutually agreeable solutions for the distribution of risk of official restrictions on use. Without some form of mediation, parties may face lengthy and cost-intensive court proceedings, with no certainty as to the outcome of each individual case. During negotiations, it must be noted, especially in the case of fixed term leases, that in the event of an agreement to reduce the rent or similar, an amendment conforming to the German written form requirement must be concluded in order to prevent endangering the term of the lease by a breach of the written form within the meaning of § 550 BGB.

Underlying facts of the BGH judgment

The legal dispute was based on a claim by the landlord for rent payment against the tenant, KiK, a discount textile store. KiK refused to pay rent for April 2020 during the first lockdown, invoking high sales losses.

After KiK lost in the first instance, the Higher Regional Court ruled on appeal that a 50% reduction of the rent should be regarded as reasonable. Both tenant and landlord then appealed that decision, as neither were satisfied with the judgment.

Appellate decision

In its judgment, the BGH does not follow any of the previous lines of case law of the higher regional courts; in particular, it rejects the blanket rent reduction of 50% advocated by this court and other lower courts.

The ruling states: (i) the warranty provisions under tenancy law and the general law on disturbance of performance (in particular § 313 BGB) are not excluded by Art. 240 § 2 EGBGB limiting rights of landlords during the pandemic; (ii) a shop closure is not a defect in the rental object that warrants a rent reduction; (iii) an adjustment of the contract pursuant to § 313 BGB can be made, depending on the consideration of each individual case.

To resolve COVID-related disputes, the BGH uses the central and decisive provision of § 313 BGB and Art. 240 § 7 EGBGB, another COVID-specific statute, which came into force in January 2021. With this new provision, legislators established the presumption that there is a disturbance of the basis of the contract (Störung der Geschäftsgrundlage) for commercial leases, and adjustments may be made by applying the prerequisites of § 313 BGB. However, the new law does not render any conclusive statement on the existence of these prerequisites. In particular, the judge must still examine unreasonableness according to the circumstances of the individual case. This determination is based on the economic impact of the closure in terms of losses incurred, but also compensations received from insurances, state aid, and otherwise as well as the contractual distribution of risk.

The BGH does not believe that this risk of COVID-related profit losses due to governmental business closures solely concerns tenants. Indeed, the BGH classifies it as a realisation of the general risk of life, which cannot be assigned to either of the contracting parties alone.

Nevertheless, a comprehensive weighing of interests is required to determine the (un)reasonableness of holding on to the existing lease, which is why not both the interests of the tenant and the landlord must be taken into account. In any case, however, according to the BGH, no actual threat to the economic existence of the tenant is required to apply this test of unreasonableness.

The judge must consider several factors, including proof of a COVID-related decline in sales related to the specific rental property (and not the level of the tenant‘s group sales) as well as — in order to prevent overcompensation — information on the use of state aid and other sources of income (e.g., online trade), or the omission of compensation possibilities as well as statements on the possibilities of cost reduction (e.g., short-term work). Since the landlord’s interests must also be considered, the landlord can, for example, state the amount of the rent in comparison with the local comparative rent, the need for rent payments with regard to his own liabilities, or the (lack of) possibility of reducing his own financial burdens.

What are the next steps?

In this case, the BGH referred the proceedings back to the previous court to examine the specific economic effects of the closure of the store and whether the disadvantages have reached a level that requires adjustment of the lease payments. As the BGH has not yet reached a final decision, the direction of future case law remains unclear.