EuGH: DSGVO-Bußgeld nur bei Verschulden, Verhängung auch gegen Unternehmen möglich
Der Europäische Gerichtshof hat am 5. Dezember 2023 zwei Rechtssachen bezüglich der Bußgeldpraxis der nationalen Datenschutz-Aufsichtsbehörden entschieden. Der EuGH stellt klar, dass Bußgelder für Datenschutzverstöße nur dann verhängt werden können, wenn der Verantwortliche diese schuldhaft – also vorsätzlich oder fahrlässig – begangen hat. Die Kammer stellt jedoch ebenfalls klar, dass Verantwortliche sanktioniert werden können, wenn sie über die Rechtswidrigeit ihres Verhaltens nicht im Unklaren sein konnten.
Darüber hinaus ist es bei der Ahndung von Datenschutzverstößen juristischer Personen oder von Personenvereinigungen nicht erforderlich, eine Pflichtverletzung einer Leitungsperson, nicht einmal deren Kenntnis über den Verstoß, nachzuweisen. Bußen können somit direkt gegen juristische Personen verhängt werden, „sofern sie die Eigenschaft eines Verantwortlichen haben“. Dem gegenüber stand der § 30 Abs. 1 des deutschen Ordnungswidrigkeitengesetzes (OWiG), der (vereinfacht) definiert, dass Geldbußen nur gegen natürliche Personen (als Vertreter einer juristischen Person oder Personenvereinigung) verhängt werden dürfen. Der Entscheidung zugrunde lag eine Vorlagefrage in einem Rechtstreit zwischen der Deutsche Wohnen SE und der Staatsanwaltschaft Berlin (Deutschland) über Geldbußen, die gegen DW wegen eines Verstoßes gegen Art. 5 Abs. 1 Buchst. a, c und e, Art. 6 sowie Art. 25 Abs. 1 DSGVO verhängt worden waren. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, zeigt sich zufrieden mit dem Urteil, welches „die Sanktionspraxis der deutschen Datenschutzbehörden bestätigt“.
Quelle: