Die DSGVO sieht in der Verhängung von Geldbußen gegen Verantwortliche nach Art. 58 Abs. 2 lit. i und Art. 83 ein wesentliches Instrument, um ihre Anforderungen in der Praxis umsetzen zu können. Seit dem Inkrafttreten der DSGVO waren wichtige Fragen der Verhängung von Geldbußen gegenüber Unternehmen heftig umstritten. In zwei Vorlageentscheidungen hat der EuGH die zwei wichtigsten Fragen entschieden.
In dem Urteil vom 5. Dezember 2023 ging es um eine Geldbuße in Höhe von über 14 Mio. Euro, welche die Aufsichtsbehörde in Berlin gegen die Deutsche Wohnen SE verhängt hatte, weil diese es vorsätzlich unterlassen habe, die notwendigen Maßnahmen zu treffen, um die regelmäßige Löschung nicht mehr benötigter personenbezogener Daten von Mietern zu ermöglichen und durchzuführen.
In dem Vorlageverfahren ging es um die Fragen, ob die Aufsichtsbehörde eine Geldbuße unmittelbar gegen ein Unternehmen verhängen kann und ob dem Unternehmen hierfür ein Verschulden nachgewiesen werden muss.
Geldbußen gegen Unternehmen
Nach deutschem Recht kann eine Ordnungswidrigkeit grundsätzlich nur von einer natürlichen Person begangen werden. Ausnahmsweise kann ein Bußgeld nach § 30 OWiG auch gegen eine juristische Person verhängt werden, wenn eine Leitungsperson iSd § 30 Abs. 1 OWiG eine Ordnungswidrigkeit begangen hat, durch die Pflichten, welche die juristische Person treffen, verletzt worden sind oder die juristische Person bereichert worden ist oder werden sollte.
Diese Vorschrift ist jedoch bei Verstößen gegen die DSGVO nicht anwendbar. Vielmehr sind wegen des Anwendungsvorrangs des Unionsrechts die inhaltlichen Voraussetzungen einer Geldbuße allein nach Art. 83 DSGVO zu bestimmen. Daher kann nach dem Urteil des EuGH ein Unternehmen als Verantwortlicher selbst gegen datenschutzrechtliche Vorgaben verstoßen und unmittelbar zum Adressaten einer Geldbuße nach Art. 83 DSGVO werden.
Außerdem hat der EuGH in Orientierung am Wettbewerbsrecht der Union klargestellt, dass es nicht erforderlich ist, den Verstoß gegen Datenschutzrecht bestimmten, zu identifizierenden natürlichen Personen zuzuordnen. Vielmehr genügt es festzustellen, dass der Verstoß von Personen begangen wurde, die dem Unternehmen zuzuordnen sind.
Verschulden des Unternehmens
Bezogen auf die zweite umstrittene Frage hält der EuGH fest, dass die Aufsichtsbehörde Geldbußen nur wegen Verstößen gegen die Bestimmungen der DSGVO verhängen kann, die der Verantwortliche schuldhaft, also vorsätzlich oder fahrlässig, begangen hat.
Hinsichtlich des Verschuldensmaßstabs orientiert sich der EuGH wiederum am Wettbewerbsrecht der Union. Danach können Unternehmen Verstöße gegen Datenschutzrecht verschulden, ohne dass das Verschulden einer natürlichen Person nachgewiesen werden muss. Hierzu stellt der EuGH fest, „dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“. Diese Kenntnis ist für die juristische Person festzustellen, nicht für die handelnde natürliche Person. Und bezogen auf die Leitungsorgane ist festzuhalten: Bei einer juristischen Person setzt die „Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraus“.
Das Urteil des EuGH hat umstrittene Rechtsfragen geklärt und eine tragfähige Grundlage für die Aufsichtspraxis und die Festsetzung von Geldbußen gegen Unternehmen geschaffen. Die dadurch erzeugte Rechtsklarheit wird die Einhaltung von datenschutzrechtlichen Vorgaben bei den Verantwortlichen befördern und die Aufsichtstätigkeit der Aufsichtsbehörden erleichtern.
Quelle: HBDI
Fragen Sie sich, ob Ihr Unternehmen bei Datenschutz und Datensicherheit gut aufgestellt ist?
Unverbindlich mit Datenschutzbeauftragten sprechen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks