07.12.2023
Geldbuße: Nur bei schuldhaftem Verstoß gegen die Datenschutz-Grundverordnung
Nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO) kann laut Europäischem Gerichtshof (EuGH) zur Verhängung einer Geldbuße führen. Gehört der Adressat der Geldbuße zu einem Konzern, bemesse sich diese nach dem Jahresumsatz des Konzerns.
Ein litauisches und ein deutsches Gericht haben den EuGH ersucht, die DS-GVO auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.
Im litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße in Höhe von 12.000 Euro, die ihm im Zusammenhang mit der Entwicklung einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.
Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen, das mittelbar rund 163.000 Wohneinheiten und 3.000 Gewerbeeinheiten hält, gegen eine Geldbuße von über 14 Millionen Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.
Laut EuGH kann gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DS-GVO verhängt werden, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies sei dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DS-GVO verstößt.
Handelt es sich bei dem Verantwortlichen um eine juristische Person, sei es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr hafte eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt.
Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf laut EuGH nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde. Außerdem könne gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.
Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen führt der Gerichtshof aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als "gemeinsam Verantwortliche" setze keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichten aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssten diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen. Schließlich müsse sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff "Unternehmen" stützen. Der Höchstbetrag der Geldbuße sei daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.
Gerichtshof der Europäischen Union, Urteile vom 05.12.2023, C-683/21 und C-807/21