EuGH senkt Hürden für die Verhängung von Bußgeldern

Am 05. Dezember hat der Europäische Gerichtshof (EuGH) gleich zwei wegweisende Urteile verkündet. Im ersten Urteil entschied der EuGH im Fall „Deutsche Wohnen“. Diese stritt mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit über die langfristige Speicherung von Mieter:innendaten (z.B. Personalausweiskopien, Bonitätsbelege, Gehaltsbescheinigungen) in ihren Archivsystemen. Die Datenschützer:innen rügten einen Datenschutzverstoß, welchem die Deutsche Wohnen jedoch keine Abhilfe leistete. Daraufhin verhängte die Berliner Behörde ein Bußgeld in Höhe von 14,385 Mio. EUR wegen eines vorsätzlichen Datenschutzverstoßes.

Die Deutsche Wohnen zog vor Gericht. Das Berliner Landgericht stellte das Verfahren gegen die Deutsche Wohnen zunächst ein. Der Bescheid sei unwirksam, weil er keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalte, entschied das Landgericht Berlin (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az. 526 AR).

Hiergegen wurde Beschwerde beim Kammergericht Berlin eingelegt. Das Kammergericht Berlin setzte das Verfahren aus und legte dem EuGH mit Beschluss vom 6.12.2021 rechtliche Fragen zur Klärung (Vorabentscheidungsersuchen) vor. Es ging um die Grundsatzfrage: Kann eine juristische Person in Deutschland, die ein Unternehmen betreibt, nach den Grundsätzen des EU-Rechts unmittelbar für Verstöße gegen die DSGVO sanktioniert werden, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss.

Der EuGH hat nun entschieden, dass nur ein schuldhafter Verstoß – vorsätzlich oder fahrlässig – gegen die DSGVO zur Verhängung einer Geldbuße führen kann. Der EuGH führt aus:

„Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker & Co. u. a., C‑681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C‑591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C‑601/16 P, EU:C:2021:244, Rn. 97).

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. entsprechend Urteile vom 7. Juni 1983, Musique Diffusion française u. a./Kommission, 100/80 bis 103/80, EU:C:1983:158, Rn. 97, und vom 16. Februar 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Kommission, C‑94/15 P, EU:C:2017:124, Rn. 28 sowie die dort angeführte Rechtsprechung).(EuGH vom 5.12.2023, C-807/21, Rn. 76 f.)

In dem zweiten Fall „Nacionalinis visuomenės sveikatos centras“ führt der EuGH aus:

„Da ein für die Verarbeitung Verantwortlicher … nicht nur für jede von ihm selbst vorgenommene Verarbeitung personenbezogener Daten, sondern auch für die in seinem Auftrag vorgenommenen Verarbeitungen verantwortlich ist, kann diesem Verantwortlichen in einer Situation, in der personenbezogene Daten unrechtmäßig verarbeitet werden und nicht ein solcher Verantwortlicher, sondern ein von ihm eingeschalteter Auftragsverarbeiter diese Verarbeitung in seinem Auftrag vorgenommen hat, ein Bußgeld nach Art. 83 DSGVO auferlegt werden.“ (EuGH vom 5.12.2023, C-683/21, R. 84).

Damit kann auch ein Verantwortlicher für Datenschutzverstöße eines Auftragsverarbeiters mit einem Bußgeld sanktioniert werden.