EuGH, Urteil - C-807/21: Haftung für Datenschutzverstöße nach DSGVO
Am 5. Dezember 2023 hat der Europäische Gerichtshof (EuGH) in einer wegweisenden Entscheidung (C‑807/21) betont, dass Unternehmen im Grundsatz für Verstöße gegen die Datenschutzgrundverordnung (DSGVO) haftbar gemacht werden können. Diese Entscheidung erging im Zuge des Rechtsstreits zwischen dem Immobilienunternehmen "Deutsche Wohnen" und der Datenschutzbehörde Berlin.
Der Rechtsstreit zwischen "Deutsche Wohnen" und der Datenschutzbehörde Berlin betraf die Speicherung nicht mehr erforderlicher Daten und das Unterlassen von Maßnahmen zur Löschung. Die Datenschutzbehörde hatte im Oktober 2020 ein Bußgeld in Höhe von über 14 Millionen Euro verhängt, das zunächst vom Landgericht Berlin aufgehoben wurde. Die Staatsanwaltschaft legte jedoch Berufung ein, woraufhin das Kammergericht (KG) Vorabentscheidungsfragen an den EuGH richtete.
Der EuGH hebt hervor, dass eine juristische Person in ihrer Eigenschaft als Verantwortlicher nicht nur für Verstöße ihrer Vertreter, Leitungsorgane oder Geschäftsführer, sondern auch für Verstöße jedes anderen Mitarbeiters im Unternehmen haftbar sein kann. Eine Geldbuße gegen ein Unternehmen als Verantwortlichen kann somit auch ohne vorherige Feststellung der Verantwortlichkeit einer identifizierten natürlichen Person verhängt werden.
Dennoch präzisiert die EuGH-Entscheidung, dass nur schuldhaft begangene Verstöße gegen die DSGVO mit einem Bußgeld geahndet werden können. Eine rein objektive Verletzung einer DSGVO-Bestimmung genügt nicht für die Verhängung eines Bußgeldes. Damit widerspricht der EuGH dem bisherigen Konzept der "strict liability", das von Datenschutzbehörden bisher vertreten wurde.
Die Entscheidung wirkt sich auch auf die Anwendung des § 30 OWiG aus, der bisher die Verhängung von Bußgeldern gegen Unternehmen regelte. Der EuGH betont, dass dieser Paragraph bei der Verhängung von Geldbußen wegen möglicher DSGVO-Verstöße nicht unmittelbar anwendbar ist.
Die Bewertung und Einordnung der Folgen für die Praxis verdeutlichen, dass nun das Verschulden des Verantwortlichen im Fokus steht. Der EuGH lässt jedoch offen, auf wessen Verschulden es ankommt, ob des jeweils zuständigen Leitungsorgans oder des faktisch handelnden Mitarbeiters.
Die Entscheidung des EuGH dürfte die Praxis der Datenschutzbehörden beeinflussen und erfordert von diesen einen erhöhten Aufklärungs- und Begründungsaufwand bei der Verhängung von Bußgeldern gegen Unternehmen. Unternehmen sollten sich darauf einstellen, dass künftig intensiver geprüft wird, ob dem Verantwortlichen ein Verschulden an einem DSGVO-Verstoß trifft.
