Der EuGH stellt in den Rechtssachen C-683/21 und C-807/21 fest, dass zum einen nur ein schuldhafter Verstoß gegen die DSGVO zur Verhängung einer Geldbuße führen könne. Zum anderen müsse der Verstoß bei einer juristischen Person nicht durch ein Leitungsorgan begangen worden oder diesem bekannt gewesen sein.
Worum geht es?
Die Deutsche Wohnen SE, ein großes Immobilienunternehmen mit Sitz in Berlin, wurde ursprünglich von der Berliner Datenschutzbehörde wegen unzureichender Datenlöschungspraktiken mit einer Geldstrafe belegt. Die Behörde stellte fest, dass die Deutsche Wohnen persönliche Daten von Mietern in einem elektronischen Archivierungssystem speicherte, ohne die Notwendigkeit der Speicherung oder die Löschung veralteter Daten zu überprüfen. Im Oktober 2020 verhängte die Datenschutzbehörde eine Geldstrafe von über 14,3 Millionen Euro wegen vorsätzlicher Verletzung der Datenschutzgrundverordnung (DSGVO) sowie weitere Bußgelder für die Speicherung unnötiger Daten von Mietenden.
Schuldhafter Verstoß
Nach der Entscheidung des Gerichthofs muss ein vorsätzlicher oder fahrlässiger Verstoß gegen die DSGVO begangen worden sein, damit dieser schuldhaft sei und eine Geldbuße gegen die verantwortliche Stelle verhängt werden könne. Ein Verstoß sei schuldhaft, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens im Unklaren sein konnte, unabhängig davon, ob ihm dies bewusst gewesen sei.
Folglich ist eine verschuldensunabhängige Haftung nicht mit der DSGVO vereinbar.
Kenntnis der Leitung des Unternehmens? – Nein!
Weiter führt der EuGH aus, dass eine Kenntnis der leitenden Personen oder des Leitungsorgans nicht zwingend erforderlich sei, geschweige denn, der Verstoß durch das Leitungsorgan selbst begangen werden müsse. Es genüge ein Verstoß jeder sonstigen Person, die im Rahmen ihrer unternehmerischen Tätigkeit im Betrieb handle. Ferner dürfe die Geldbuße nicht von der Feststellung abhängig gemacht werden, dass der Verstoß durch eine identifizierte natürliche Person begangen worden sei.
Geldbuße für Auftraggeber? – Ja!
Laut des Gerichtshofs sind Geldbußen auch gegen Verantwortliche möglich, wenn die Verarbeitungsvorgänge zwar durch einen Auftragsverarbeiter durchgeführt werden, diese aber dem Verantwortlichen zugerechnet werden können.
Gemeinsame Verantwortlichkeit
Auch die gemeinsame Verantwortlich präzisiert der EuGH in seiner Entscheidung deutlich. Demnach liege diese vor, wenn die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Eine förmliche Vereinbarung zwischen den Einrichtungen sei keine zwingende Voraussetzung. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche sei eine Festlegung ihrer jeweiligen Pflichten in ihrer Vereinbarung zwingend.
Gesamter Jahresumsatz für die Geldbuße relevant? – Ja!
Abschließend stellt der Gerichtshof klar, dass für die Bemessung der Geldbuße gegenüber Unternehmen auf den wettbewerbsrechtlichen Begriff des „Unternehmens“ abgestellt werde und der Höchstbetrag der Geldbuße auf Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zu berechnen sei.
Fazit
Dieses Urteil stellt ein bedeutendes Präzedenzurteil in Bezug auf die Anwendung der DSGVO und die Zurechenbarkeit von Datenschutzverstößen für Unternehmen dar. Es hebt die Notwendigkeit hervor, dass Unternehmen nicht nur Datenschutzvorschriften einhalten, sondern auch die erforderlichen internen Kontrollen implementieren müssen, um sicherzustellen, dass sie in der Lage sind, rechtzeitig auf Datenschutzverstöße zu reagieren und diese zu korrigieren.
Bildnachweis für diesen Beitrag © Postmodern Studio stock.adobe.com