EuGH: Geldbuße nach DSGVO nur bei Verschulden
Mit zwei wegweisenden Urteilen vom 05.12.2023 präzisiert der Europäische Gerichtshof (EuGH) die Voraussetzungen, unter denen nationale Datenschutzbehörden Bußgelder gegenüber Verantwortlichen erteilen dürfen. Dabei stellt der EuGH fest, dass eine Behörde eine Geldbuße nach der Datenschutzgrundverordnung (DSGVO) nur bei Verschulden verhängen darf. Unternehmen haften jedoch für alle Beschäftigten. Zudem richtet sich die Berechnung der Höhe der Geldbuße für Unternehmen nach dessen Jahresumsatz.
Hintergrund des Falles
Den beiden Urteilen (C-683/21 und C-807/21) liegen Vorabentscheidungsersuchen nach Art. 276 AEUV durch ein litauisches und ein deutsches Gericht zugrunde. Beide hatten den EuGH zur Auslegung der DSGVO angerufen. In Litauen ging es um ein Bußgeld von 12.000 Euro, welches dem Nationalen Zentrum für öffentliche Gesundheit beim Gesundheitsministerium im Bezug auf die Entwicklung einer Covid-19-App auferlegt wurde. Der deutsche Fall dreht sich um eine vom Berliner Datenschutzbeauftragten verhängte 14 Millionen Euro Strafe gegen das Immobilienunternehmen „Deutsche Wohnen SE“ (gehört seit 2021 zur Vonvia SE). Das Unternehmen soll personenbezogene Daten von Mietern länger als erforderlich gespeichert haben.
Schuldhaftigkeit als Grundvoraussetzung
Der EuGH stellt klar: Eine Geldbuße nach der DSGVO setzt ein Verschulden voraus. Ein schuldhaftes Verhalten liegt bei Vorsatz oder Fahrlässigkeit vor. Das bedeutet, dass es nicht darauf ankommt, ob sich der Verantwortliche der Rechtswidrigkeit seines Verhaltens bewusst war, sondern nur darum, dass er die Rechtswidrigkeit erkennen konnte.
Unternehmen haften für alle Beschäftigten
Andererseits reicht bei juristischen Personen jedoch ein schuldhafter Verstoß durch eine im Namen des Unternehmens handelnde Person aus, auch wenn das Leitungsorgan keine Kenntnis davon hatte. Es ist hingegen unerheblich, ob für den Verstoß eine natürliche Person identifizierbar ist. Damit wendet der EuGH sich gegen § 30 Ordnungswidrigkeitengesetz. Viele Landesdatenschutzbeauftragten begrüßen diese Entscheidung, so zum Beispiel die Landesbeauftragte für Datenschutz und Informationsfreiheit in Bremen, Imke Sommer.
Wer ist verantwortlich?
Das Urteil führt weiter aus, dass Verantwortliche bei entsprechender Zurechenbarkeit auch für Verarbeitungsvorgänge von Auftragsverarbeitern haftbar gemacht werden können. Der Gerichtshof betont zudem, dass die gemeinsame Verantwortlichkeit von Unternehmen nicht zwingend eine förmliche Vereinbarung erfordert. Es genügt, wenn über Zwecke und Mittel der Datenverarbeitung eine gemeinsame oder übereinstimmende Entscheidung vorliegt.
Höhe der Geldbuße abhängig von Jahresumsatz
Ist der Adressat der Geldbuße ein Unternehmen, berechnet sich die Höhe der Strafe nach dem Jahresumsatz. Zugrunde zu legen ist der wettbewerbliche Unternehmensbegriff. Das bedeutet, dass Berechnungsgrundlage der gesamte weltweite Umsatz des Konzerns im vorangegangenen Geschäftsjahr ist.
Fazit
Der EuGH stellt fest, dass eine Geldbuße nach der DSGVO nur bei Verschulden verhängt werden darf. Hierbei handelt es sich um einen Schritt gegen eine verschuldensunabhängige Haftung nach der DSGVO. Verantwortlichen und Auftragsverarbeitern könnte dieses Urteil zugutekommen, indem es Haftungsrisiken für Unternehmen reduziert. Andererseits bestätigt der EuGH, dass Unternehmen für alle Beschäftigten haften. Insgesamt sorgt das Urteil für mehr Rechtssicherheit, sodass Datenschutz „jetzt effektiver durchgesetzt“ werden kann, wie der Hessische Beauftragte für Datenschutz und Informationssicherheit, Alexander Roßnagel, zutreffend feststellt. Die nationalen Gerichte werden den Fall nun unter Beachtung des jeweiligen EuGH-Urteils entscheiden.
