Die jüngsten Grundsatzurteile des Europäischen Gerichtshofs (EuGH) in den Fällen „Deutsche Wohnen“ (Urteil vom 05.12.2023 – Rechtssache C-807/21) und „Nacionalinis visuomenės sveikatos centras“ (Urteil vom 05.12.2023 – Rechtssache C‑683/21) haben erhebliche Auswirkungen auf die Durchsetzung von DSGVO-Bußgeldern:
„Deutsche Wohnen“: Klarstellung der Bußgeldvoraussetzungen
Im Fall „Deutsche Wohnen“ hat der EuGH nun entschieden, dass Unternehmen auch dann für Datenschutzverstöße haftbar gemacht werden können, wenn keine konkrete Person mit Leitungsfunktion vorsätzlich oder fahrlässig gehandelt hat. Das bedeutet, dass die Einschränkungen der §§ 30 und 130 OWiG, die eine solche Feststellung verlangen, mit der DSGVO nicht vereinbar sind. Die Feststellung eines Verschuldens eines Unternehmens kann somit ohne den Nachweis erfolgen, dass eine einzelne verantwortliche Person vorsätzlich oder fahrlässig gehandelt hat. Der EuGh hat damit einen seit geraumer Zeit geführten Grundsatzstreit zugunsten des unionsrechtlichen Sanktionsmodells entschieden, das Unternehmen für Verstöße unmittelbar haftbar macht.
Der EuGH betont jedoch, dass ein Bußgeld dennoch auch dabei nur verhängt werden kann, wenn ein Verschulden vorliegt. Das Verschulden wird dabei nach dem Maßstab beurteilt, ob das Unternehmen sich über die Rechtswidrigkeit seines Verhaltens „nicht im Unklaren sein konnte“. Dementsprechend kann ein Bußgeld auch verhängt werden, wenn das Unternehmen fahrlässig handelte und die Rechtswidrigkeit seines Verhaltens erkennen konnte, ohne dass eine spezifische Kenntnis oder Absicht nachgewiesen werden muss.
„Nacionalinis visuomenės sveikatos centras“: Verantwortung für Auftragsverarbeiter
Im Parallelfall „Nacionalinis visuomenės sveikatos centras“ hat der EuGH entschieden, dass ein Unternehmen auch dann für Datenschutzverstöße verantwortlich gemacht werden kann, wenn diese durch einen von ihm beauftragten Auftragsverarbeiter begangen wurden. Hier reichte es nach Auffassung des EuGH aus, dass der Verantwortliche sich über den Datenschutzverstoß „nicht im Unklaren sein konnte“. Das Urteil stellt auch noch einmal klar, dass die Verantwortlichkeit des Unternehmens generell nicht nur für eigene Handlungen, sondern auch für die seiner Auftragsverarbeiter besteht.
Fazit:
Die EuGH-Urteile stärken die Position der Datenschutzbehörden und erleichtern die Durchsetzung von Bußgeldern bei Datenschutzverstößen.
Sie bedeuten für Unternehmen eine deutliche Erhöhung ihres Haftungsrisikos unter der DSGVO. Unternehmen müssen sicherstellen, dass sie und ihre Auftragsverarbeiter die Datenschutzvorschriften einhalten, da sie andernfalls unabhängig von einer konkreten persönlichen Zurechenbarkeit mit erheblichen Bußgeldern zu rechnen haben. Faktisch könnten die Entscheidungen dazu führen, dass die Anforderungen der §§ 30, 130 OWiG künftig indirekt zu prüfen sein werden.