Der Europäische Gerichtshof hat am 5. Dezember 2023 zwei Rechtssachen bezüglich der Bußgeldpraxis der nationalen Datenschutz-Aufsichtsbehörden entschieden. Der EuGH stellt klar, dass Bußgelder für Datenschutzverstöße nur dann verhängt werden können, wenn der Verantwortliche diese schuldhaft – also vorsätzlich oder fahrlässig – begangen hat. Die Kammer stellt jedoch ebenfalls klar, dass Verantwortliche sanktioniert werden können, wenn sie über die Rechtswidrigeit ihres Verhaltens nicht im Unklaren sein konnten.
Darüber hinaus ist es bei der Ahndung von Datenschutzverstößen juristischer Personen oder von Personenvereinigungen nicht erforderlich, eine Pflichtverletzung einer Leitungsperson, nicht einmal deren Kenntnis über den Verstoß, nachzuweisen. Bußen können somit direkt gegen juristische Personen verhängt werden, „sofern sie die Eigenschaft eines Verantwortlichen haben“. Dem gegenüber stand der § 30 Abs. 1 des deutschen Ordnungswidrigkeitengesetzes (OWiG), der (vereinfacht) definiert, dass Geldbußen nur gegen natürliche Personen (als Vertreter einer juristischen Person oder Personenvereinigung) verhängt werden dürfen. Der Entscheidung zugrunde lag eine Vorlagefrage in einem Rechtstreit zwischen der Deutsche Wohnen SE und der Staatsanwaltschaft Berlin (Deutschland) über Geldbußen, die gegen DW wegen eines Verstoßes gegen Art. 5 Abs. 1 Buchst. a, c und e, Art. 6 sowie Art. 25 Abs. 1 DSGVO verhängt worden waren. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, zeigt sich zufrieden mit dem Urteil, welches „die Sanktionspraxis der deutschen Datenschutzbehörden bestätigt“.
Quelle:
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.