05.12.2023

Zur Sanktionierung von Unternehmen bei Datenschutzverstößen

Hinsichtlich der Voraussetzungen, unter denen nationale Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DSGVO verhängen können, gilt, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetzt, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Gehört der Adressat der Geldbuße zu einem Konzern, ist bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen.

EuGH v. 5.12.2023 - C-807/21 u.a.
Der Sachverhalt:
Die Berliner Beauftragte für Datenschutz setzte gegen das Immobilienunternehmen Deutsche Wohnen SE, das mittelbar etwa 163.000 Wohneinheiten und 3.000 Gewerbeeinheiten hält, eine Geldbuße von über 14 Mio. € fest, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte. Auf den Einspruch des Unternehmens stellte das LG das Verfahren ein; der Bußgeldbescheid leide unter gravierenden Mängeln. Hiergegen richtet sich die sofortige Beschwerde der Staatsanwaltschaft.

Das KG, sowie im Parallelverfahren C-683/21 ein litauisches Gericht, ersuchen den EuGH um Auslegung der DSGVO im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen die Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.

In dem litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße i.H.v. 12.000 €, die ihm im Zusammenhang mit der Entwicklung (mit Unterstützung durch ein privates Unternehmen) einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.

Die Gründe:
Gegen einen für die Datenverarbeitung Verantwortlichen kann nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden, wenn dieser Verstoß schuldhaft - also vorsätzlich oder fahrlässig - begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde. Zudem kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.

Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen ist festzustellen, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als "gemeinsam Verantwortliche" setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff "Unternehmen" stützen. Dieser Begriff umfasst jede eine wirtschaftliche Tätigkeit ausübende Einrichtung unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Darunter ist somit eine wirtschaftliche Einheit zu verstehen, selbst wenn diese wirtschaftliche Einheit rechtlich aus mehreren natürlichen oder juristischen Personen gebildet wird. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.

Mehr zum Thema:

Beratermodul Datenschutzrecht:

Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!

Aktionsmodul Gesellschaftsrecht:
Mit dem Aktionsmodul stehen dem umfassend tätigen Gesellschaftsrechtler fünf Beratermodule zur Verfügung. Inklusive Beratermodul AG, GmbHR und ZIP. Zahlreiche, bewährte Formulare mit LAWLIFT bearbeiten! Neuauflage Lutter/Hommelhoff GmbHG Kommentar hier topaktuell online! Die jüngsten Gesetzesreformen wie das DiRUG und DiREG sind bereits ausführlich kommentiert, auch UmRUG und MoPeG sind berücksichtigt. 4 Wochen gratis nutzen!
EuGH PM Nr. 184 vom 5.12.2023
Zurück