Die Bußgeldhaftung bei Datenschutzverstößen wurde bereits im letzten Jahr durch den EuGH mit dem Urteilen vom 05.12.2023 in den Rechtssachen C‑683/21 und C‑807/21 beantwortet.
EuGH hat entschieden
Der EuGH hat in diesem Urteil entschieden, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO zu verhängen ist, wenn dieser Verstoß schuldhaft, also vorsätzlich oder fahrlässig entstanden ist. Dieses ist dann der Fall, wenn sich Verantwortliche im Klaren über die Rechtswidrigkeit ihres Verhaltens sind, egal ob diese unwissentlich gegen Bestimmungen der DSGVO verstoßen.
Haftung bei verantwortlicher Person
Handele es sich bei verantwortlichen Personen um juristische Personen, ist es laut EuGH nicht erforderlich, dass der jeweilige Verstoß vom Leitungsorgan begangen wird oder dieses Kenntnis davon hat. Hiernach hafte eine juristische Person sowohl für Verstöße, die von Vertreter:innen, Leitungspersonen oder Geschäftsführer:innen entstehen und sogar für Verstöße, die von jeder sonstigen Person, die im Rahmen der unternehmerischen Tätigkeit mit dessen Mitteln und auf Anweisung handeln.
Die Verhängung einer Geldbuße gegen eine juristische Person aufgrund einer Datenschutzverletzung ist daher nicht von der Voraussetzung abhängig zu machen, dass zuvor die natürliche Person zu identifizierten ist, welche den Verstoß begangen hat. Ist zudem der Adressat der Geldbuße Teil eines Konzerns, bemisst sich die Höhe dieses Bußgeldes am Jahresumsatz des Konzerns, so der EuGH.
Ende einer langen Diskussion
Mit den Urteilen beendet der EuGH die lange Diskussion, ob bei Bußgeldern der DSGVO das Funktionsträger- oder das sog. Rechtsträgerprinzip gilt. Denn nach dem nationalen Ordnungswidrigkeitenrecht (§ 30 Gesetz über Ordnungswidrigkeiten – OWiG) sind Bußgelder gegenüber Unternehmen nur zu verhängen, wenn eine Führungskraft eine vorsätzliche oder fahrlässige Tat begangen hat, die dem Unternehmen zuzurechnen ist (Rechtsträgerprinzip). Dies stellt hohe Anforderungen an die Bußgeldhaftung da, weil es für ein Bußgeld stets eines nachgewiesenen Fehlverhaltens einer Leitungsperson bedarf. Diese Auseinandersetzung berührte daher den grundlegenden Aspekt, ob die individuelle Identifizierung von Tätern notwendig ist oder ob Unternehmen unmittelbar für Verstöße verantwortlich zu machen sind.
Sanktionssystem
Das Sanktionssystem der DSGVO ermöglicht es, eine Geldbuße zu verhängen, um einen Anreiz für Daten verarbeitende Unternehmen zu schaffen, den Anforderungen der DSGVO nachzukommen.
Also lassen Sie sich gut beraten.
2 Comments