IT/Datenschutz
EuGH verkündet zwei wegweisende Urteile zum DS-GVO Bußgeld
Der EuGH hat am 05.12.2023 in den Rechtssachen C-807/21 ("Deutsche Wohnen") und C-683/21 ("Nacionalinis visuomenės sveikatos centras") zwei wegweisende Urteile verkündet.
Die „Deutsche Wohnen“ erhielt 2019 ein Bußgeld wegen eines mangelhaften Löschkonzeptes in Höhe von über 14 Mio. EUR. Das Landgericht Berlin stellte das Bußgeldverfahren ein, da es an einer Feststellung fehlte, welche Person mit Leitungsfunktion vorsätzlich oder fahrlässig gehandelt hatte (§ 30 OWiG). Es konnte auch keine Aufsichtspflichtverletzung nach § 130 OWiG festgestellt werden.
Nach einer Beschwerde der Berliner Datenschutzaufsichtsbehörde am Kammergericht Berlin, musste nun der EuGH entscheiden.
Durch das EuGH-Urteil vom 05.12.2023 in Sachen „Deutsche Wohnen“ (Az. C-807/21) wurden zwei wichtige Fragen zum Bußgeld in der DS-GVO geklärt.
Entscheidung 1:
Für die Verhängung eines Bußgeldes ist keine rechtswidrige Handlung des Leitungsorgans erforderlich, es bedarf nicht einmal eine Kenntnis seitens des Leitungsorgans.
Der EuGH folgte der Ansicht der Berliner Datenschutzaufsicht und dem Kammergericht Berlin und macht nun klar, dass das deutsche Ordnungswidrigkeitenrecht keine Anwendung bei der Festsetzung eines europäischen Bußgeldes nach der DS-GVO findet.
Entscheidung 2:
Die Verhängung eines Bußgeldes setzt einen schuldhaften – also vorsätzlichen oder fahrlässigen – Verstoß gegen die DS-GVO voraus.
Dies bedeutet somit, dass ein Bußgeld nicht ohne die Feststellung eines Verschuldens verhängt werden darf. Es muss aber – wie oben klargestellt – kein Verschulden einer Leitungsperson festgestellt werden. Ein Verschulden liege dann vor, wenn der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DS-GVO verstößt.
In dem Parallelfall „Nacionalinis visuomenės sveikatos centras“ stellte der EuGH zudem noch folgendes fest:
Gegen einen Verantwortlichen kann eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.
Insofern kann auch dann ein Bußgeld gegen ein Unternehmen verhängt werden, wenn nicht dieses selbst sondern der Auftragsverarbeiter datenschutzwidrig gehandelt hat.
Es gibt hierfür aber auch Ausnahmen. Dies ist insbesondere bei einer Verarbeitung des Auftragsverarbeiters zu eigenen Zwecken oder entgegen der weisungsgebundenen Verarbeitung anzunehmen.
Fazit: Die Möglichkeiten sich gegen ein DS-GVO Bußgeld zu wehren haben sich für Unternehmen geschmälert, auch wenn es dafür selbstverständlich weiterhin Ansätze gibt, sich gegen Bußgelder zur Wehr zu setzen.
Um Bußgeldern zu entgehen, sollten Unternehmen prüfen, ob datenschutzkonforme Prozesse implementiert wurden.