Geldbußen für Datenschutzverstöße können direkt gegen Unternehmen verhängt werden

Urteil der Woche
Markenparfüm Discounter

Dieser Artikel beantwortet Ihnen folgende Fragen:

Können Geldbußen gemäß der DSGVO direkt gegen Unternehmen verhängt werden?
Haften Unternehmen für Verstöße ihrer Mitarbeiter:innen gemäß der DSGVO?
Welcher Verschuldensmaßstab gilt für die Verhängung von Geldbußen bei Datenschutzverstößen gegen Unternehmen laut EuGH?

EuGH Urteil vom 05.12.2023 (Az. C-807/21)

Ein jüngeres Urteil des Europäischen Gerichtshofs (EuGH) hat wichtige Klarstellungen zur Verhängung von Geldbußen bei Datenschutzverstößen nach der Datenschutz-Grundverordnung (DSGVO) getroffen.

Hintergrund

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte gegen die Deutsche Wohnen SE eine Geldbuße von 14,5 Millionen Euro aufgrund mutmaßlicher Verstöße gegen die DSGVO. Diese Verstöße sollen im Zusammenhang mit der unterlassenen Löschung personenbezogener Mieterdaten stehen.

Nachdem das Unternehmen Einspruch gegen den Bußgeldbescheid eingelegt hatte, erklärte das Landgericht Berlin diesen für nichtig. Dies mit der Begründung, dass er die grundlegenden Anforderungen des § 30 des Ordnungswidrigkeitengesetzes (OWiG) nicht erfüllt habe.

Aufgrund Rechtsbeschwerde der Staatsanwaltschaft Berlin gegen diese Entscheidung hat das Kammergericht das Verfahren ausgesetzt und den EuGH um eine Vorabentscheidung gebeten.

Das Kammergericht wollte insbesondere klären lassen, ob § 30 OWiG auch für die Bestrafung von juristischen Personen bei Datenschutzverstößen gilt. Dies würde bedeuten, dass Geldbußen nur dann verhängt werden können, wenn der Verstoß der juristischen Person über ein vorwerfbares Fehlverhalten einer leitenden Person zugerechnet werden kann.

Des Weiteren soll der EuGH klären, ob für die Verhängung einer DSGVO-Geldbuße Vorsatz oder Fahrlässigkeit erforderlich ist.

Die Vorlagefragen lauteten wie folgt:

1. Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass er den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des dem § 30 OWiG zugrunde liegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?

2. Bei Bejahung der ersten Frage: Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung [EG] Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln [(ABl. 2003, L 1, S. 1)], oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?

    Zur Frage 1:

    Der EuGH hat in seiner Entscheidung zunächst klargestellt, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO durch die Artikel 58 Abs. 2 lit. i und Artikel 83 DSGVO abschließend geregelt ist. Dies bedeutet, dass die Mitgliedstaaten keinen Ermessensspielraum haben, um die Voraussetzungen für die Sanktionierung juristischer Personen festzulegen. Diese Artikel erlauben es, Geldbußen direkt gegen juristische Personen zu verhängen, wenn sie als Verantwortliche im Sinne von Artikel 4 Nr. 7 DSGVO handeln.  Der EuGH betonte, dass eine Geldbuße gegen eine juristische Person nicht erst dann verhängt werden könne, wenn ein Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.

    Damit gilt: Juristische Personen haften für Datenschutzverstöße ihrer Mitarbeiter:innen, unabhängig von deren Position im Unternehmen. Dies gilt auch für Auftragnehmer:innen, die im Namen der juristischen Person und im Rahmen ihrer geschäftlichen Tätigkeit handeln. Unternehmen haften jedoch nicht für Handlungen von Dritten, wie z.B. Cyber-Angriffen. Auch eigene Mitarbeiter:innen, die ihre Befugnisse überschreiten, handeln nicht im Rahmen der geschäftlichen Tätigkeit ihres Arbeitgebers. Ein Verstoß liegt jedoch vor, wenn das Unternehmen nicht ausreichend Maßnahmen zum Schutz vor solchen Verstößen ergriffen hat.

    Zur Frage 2:

    In Bezug auf den Verschuldensmaßstab stimmte der EuGH dem Generalanwalt Campos Sánchez-Bordona zu. Demnach führt nur ein schuldhaftes Verhalten des Verantwortlichen, also Vorsatz oder Fahrlässigkeit, zur Verhängung einer Geldbuße gemäß Artikel 83 Absatz 2 DS-GVO. Dies dient dazu, einen Anreiz für datenverarbeitende Unternehmen zu schaffen, den Anforderungen der DS-GVO nachzukommen. Der EU-Gesetzgeber hat es jedoch nicht für erforderlich erachtet, Geldbußen verschuldensunabhängig zu verhängen, um ein gleichwertiges und einheitliches Schutzniveau sicherzustellen.

    Kurz gesagt: Für das Verschulden betrachtet der EuGH die juristische Person als Ganzes und prüft, ob zumindest Fahrlässigkeit vorliegt. Dabei ist entscheidend, ob sich die juristische Person über die Rechtswidrigkeit ihres Handelns im Unklaren sein konnte, nicht unbedingt ob das Handeln gegen die DSGVO verstößt.

    Bewertung für die Praxis: Ein Urteil mit zwei Gewinnern

    Die Entscheidung des EuGH zur Verhängung von DS-GVO-Geldbußen stellt zunächst eine Erleichterung für die Datenschutzbehörden bei der Sanktionierung von Datenschutzverstößen dar:

    Um eine Geldbuße für einen festgestellten Verstoß zu verhängen, ist es nicht erforderlich, den konkreten Mitarbeiter im Unternehmen zu identifizieren, der die Daten rechtswidrig verarbeitet hat. Ebenso muss es sich nicht um einen Repräsentanten des Unternehmens im Sinne des § 30 OWiG handeln.

    Vorlagefrage 2 verdeutlicht, dass die DSGVO keine verschuldensunabhängigen Bußgelder erlaubt. Geldbußen können daher nur bei nachweislich schuldhaftem Verhalten verhängt werden. Es ist nicht erforderlich, die schuldhaften Personen namentlich zu benennen. Allerdings sind die aus dem Kartellrecht stammenden Anforderung an das Verschulden sehr streng.

    Total
    0
    Shares
    Prev
    Beschäftigtendatenschutz
    ©554468927 - stock.adobe.com

    Beschäftigtendatenschutz

    Ein Leitfaden für Arbeitgeber

    Next
    Bis zur nächsten Folge…
    Podcast Folge 49

    Bis zur nächsten Folge…

    Ein Abschied auf unbestimmte Zeit

    You May Also Like