EuGH – Sanktionen bei DSGVO-Verstoß gegen juristische Person auch ohne Zurechnung eines Fehlverhaltens zu einer natürlichen Person möglich

von Prof. Dr. Katrin Blasek, LL.M., veröffentlicht am 05.12.2023
Rechtsgebiete: Weitere ThemenComplianceDatenschutzrecht1|1393 Aufrufe

Der EuGH hat heute die entsprechende Vorlage des KG Berlin https://community.beck.de/2022/01/05/vorlage-an-den-eugh-bussgeldhaftung-nach-dt-owig-lg-berlin-deutsche-wohnen-oder-nach-eu-dsgvo beschieden (C‑807/21).  

Es geht um die Frage, ob ein Bußgeld nach Datenschutzgrundverordnung gegen ein Unternehmen verhängt werden kann ohne Feststellung eines konkreten Vorwurfs gegen eine natürliche Person (§ 30 I OWiG).

Im Vorgang hatten das LG Bonn (basierend auf Art. 83 DSGVO) und das LG Berlin (basierend auf § 30 OWiG und Art. 103 II GG; Vorinstanz zum KG) die Frage jeweils konträr beantwortet. Zu den unterschiedlichen Argumentationslinien hatte ich in einem früheren Beitrag berichtet: https://community.beck.de/2021/03/10/bussgeldhaftung-nach-dt-owig-lg-berlin-deutsche-wohnen-oder-nach-eu-dsgvo-lg-bonn-11

Nun der EuGH:

Frage 1: Steht Art. 58 Abs. 2 und Art. 83 Abs. 1-6 DSGVO einer nationalen Regelung (also § 30 OWiG) entgegen, die für eine Geldbuße nach Art. 83 Abs. 4-6 DSGVO gegen eine juristischen Person voraussetzt, dass ein Verstoß einer identifizierten natürlichen Person zugerechnet wurde?

Antwort des EuGH: Ja!

43      Vorbehaltlich der Bestimmungen von Art. 83 Abs. 7 DSGVO betreffend Behörden und öffentliche Stellen haftet daher jede Person, die diese Voraussetzung erfüllt – unabhängig davon, ob es sich um eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle handelt – u. a. für jeden in Art. 83 Abs. 4 bis 6 der DSGVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde.

44      In Bezug auf juristische Personen bedeutet dies zum einen, wie der Generalanwalt in den Nrn. 57 bis 59 seiner Schlussanträge im Wesentlichen festgestellt hat, dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. Zum anderen muss es möglich sein, die in Art. 83 DSGVO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können.

46      Somit ergibt sich aus der Zusammenschau von Art. 4 Nr. 7, Art. 83 und Art. 58 Abs. 2 Buchst. i DSGVO, dass eine Geldbuße wegen eines Verstoßes gemäß Art. 83 Abs. 4 bis 6 DSGVO auch gegen juristische Personen verhängt werden kann, sofern sie die Eigenschaft eines Verantwortlichen haben. Dagegen gibt es in der DSGVO keine Bestimmung, die die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängig macht, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde.

50      Insbesondere geht aus dem zehnten Erwägungsgrund der DSGVO hervor, dass deren Bestimmungen u. a. die Ziele haben, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. In den Erwägungsgründen 11 und 129 der DSGVO wird außerdem das Erfordernis betont, zur Sicherstellung einer einheitlichen Anwendung der DSGVO sicherzustellen, dass die Aufsichtsbehörden über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie über gleiche Sanktionen im Fall von Verstößen gegen die DSGVO verfügen.

51      Es liefe diesem Zweck der DSGVO jedoch zuwider, den Mitgliedstaaten zu gestatten, einseitig und als erforderliche Voraussetzung für die Verhängung einer Geldbuße gemäß Art. 83 DSGVO gegen einen Verantwortlichen, der eine juristische Person ist, zu verlangen, dass der betreffende Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde oder ihr zuzurechnen ist. Außerdem könnte eine solche zusätzliche Anforderung letztlich unter Verstoß gegen Art. 83 Abs. 1 DSGVO die Wirksamkeit und die abschreckende Wirkung von Geldbußen schwächen, die gegen juristische Personen als Verantwortliche verhängt werden.

 

Frage 2: Ist Art. 83 DSGVO dahin auszulegen, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat?

Antwort des EuGH: Ja!

„66      Zu diesen Voraussetzungen ist festzustellen, dass Art. 83 Abs. 2 DSGVO die Kriterien anführt, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Kriterien gehört nach Buchst. b dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Dagegen deutet keines der in der genannten Bestimmung aufgeführten Kriterien auf eine Möglichkeit hin, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen.

67      Zudem ist der zweite Absatz von Art. 83 DSGVO in Verbindung mit seinem dritten Absatz zu lesen, der bestimmt, welche Folgen bei der Kumulierung von Verstößen gegen die DSGVO eintreten, und wie folgt lautet: „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.“

68      Aus dem Wortlaut von Art. 83 Abs. 2 DSGVO ergibt sich somit, dass nur Verstöße gegen die Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d. h. vorsätzlich oder fahrlässig, begeht, zur Verhängung einer Geldbuße gegen ihn nach diesem Artikel führen können.

69      Die allgemeine Systematik und der Zweck der DSGVO bestätigen diese Lesart.“

Aber wann liegt bereits ein Verschulden der jur. Person vor?

„76      Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker & Co. u. a., C‑681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C‑591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C‑601/16 P, EU:C:2021:244, Rn. 97).

77      Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. entsprechend Urteile vom 7. Juni 1983, Musique Diffusion française u. a./Kommission, 100/80 bis 103/80, EU:C:1983:158, Rn. 97, und vom 16. Februar 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Kommission, C‑94/15 P, EU:C:2017:124, Rn. 28 sowie die dort angeführte Rechtsprechung).“

 

Ergo: Corporate Compliance bzw. die Einrichtung entsprechender Unternehmensstrukturen zur Vermeidung von DSGVO-Verstößen ist das Gebot der Stunde.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

1 Kommentar

Kommentare als Feed abonnieren

Kommentar hinzufügen