Grundsatz Urteil des EuGH zur Geldbuße infolge von Datenschutzverletzungen durch Unternehmen
Mit seinem Urteil vom 05.12.2023 in der Sache Deutsche Wohnen S.A. ist ein Meilenstein zum Compliance Recht für Datenschutzverstöße gelegt worden. Die Datenschutzaufsichtsbehörden atmen auf und für Betroffene hat sich die Verhandlungsposition erheblich gewandelt. Das dürfte Unternehmensleitungen wenig erfreuen …
Das kurze und knappe Fazit des Verfahrens:
Eine juristische Person haftet für einen Datenschutzverstoß, wenn ihr Vorsatz oder Fahrlässigkeit, d.h. eine schuldhaft begangene Datenschutzverletzung, nachgewiesen werden kann. Dafür ist weder eine eigene Handlung des Leitungsorgans noch die Kenntnis von einer konkreten Handlung durch konkrete Mitarbeiter auf Seiten der Geschäftsleitung erforderlich.
Die Gegenaufassung, u.a. vom Landgericht Berlin im zugrundeliegenden Bußgeldverfahren hat sich in diesem Punkte nicht durchgesetzt. Eine solche Anwendung der Vorschriften des Ordnungswidrigkeitenrechts stünde dem europäischen Recht entegegen – so der EuGH.
Nach den Ausführungen des Europäischen Gerichts
„gilt für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht. Diese Voraussetzungen sind in Art. 83 Abs. 1 bis 6 DSGVO genau festgelegt und lassen den Mitgliedstaaten keinen Ermessensspielraum“.
Die Auffassung der Deutsche Wohnen S.E., dass eine Haftung mangels konkretem Verschuldensvorwurf gegenüber der die juristische Person vertretenden Geschäftsleitung entfalle, hat sich insoweit nicht durchgesetzt.
Ausreichend ist vielmehr, dass dem Unternehmen eine Pflichtverletzung nach Maßgabe der Art. 83 Abs. 1 bis 6 DSGVO nachgewiesen wird. Und dazu gehört auch der Nachweis von Verschulden, d.h. von Vorsatz oder zumindest Fahrlässigkeit im Zusammenhang mit der bzw. den nachgewiesenen Datenschutzverletzungen.
Zum Inhalt des Verschuldensvorwurfs und seinen Anforderungen im Zusammenhang mit juristischen Personen äußerte sich der Gerichtshof gleichfalls.
Zur Frage, „ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde“ genügt es, dass ein Verantwortlicher
„sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt“.
Dabei stützt sich der EuGH auf bereits im Jahre 2013 ergangene Urteile des Gerichtshofs und verweist damit auf allgemeine Grundlagen des Europäischen Rechts, d.h. losgelöst von der Datenschutzgrundverordnung.
Die nicht selten gerade aus Deutschland immer wieder zu hörende abweichende Meinung, muss sich vorwerfen lassen, verhätlnismäßig bewußt gegen diese europarechtlichen Aspekte argumentiert zu haben. Wenn und soweit das Ordnungswidrigkeitengesetz (OWiG) zu einem anderen Ergebnis herangezogen werden sollte, stand es – europarechtswidrig – im Widerspruch zu den Zielsetzungen der DSGVO. Dass diese Bewertung nicht unwahrscheinlich ist, war an sich bekannt nur selten medienwirksam kommuniziert worden. Und gerade dass die Durchsetzung von Datenschutzrechten effektiv sein soll betonte der EuGH nicht zum ersten Mal erneut. Dann aber kann das OWiG – so herbeiargumentiert limitierend ausgelegt – nicht im Verhätlnis zum höherrangigen Europarecht, hier im Widerspruch zu Art. 83 DSGVO, nicht zur Anwendung gelangen.
Was ist nunmehr zu tun?
Mit Blick auf diese deutliche Verschärfung der Compliancehaftung für Datenschutzverstöße sollte das Datenschutzmanagement einer Evaluierung unterworfen werden, ob es in der aktuellen Form noch ausreichend enthaftend ausgerichtet ist. Nach wie vor lassen sich z.B. über Internetauftritte und Prozesse elektronischer Kommunikation etwa bei Einsatz insbesondere von Software as a Service Lösungen erhebliche Defizite und Verstöße gegen die DSGVO sozusagen „von außen“ feststellen, zugehörige Beweise sichern und insofern verfolgen (vgl. hier Beitrag zur Drittlandsübermittlungsrisiko). Ein Compliancerisiko für jede Organisation, das nicht neu ist. Aber infolge des neuen Urteils erhält es auf der möglichen Sanktionenseite ein neues Gewicht!
Diese Sichtweise sollten sich Unternehmen und Organisationen anläßlich der anzuratenden Überprüfung vergegenwärtigen.
Hier ist das Urteil vom 05.12.2023, Az. C-807/21, nachzulesen: CURIA Datenbank
(punktuell aktualisiert – 17:20)
Trackbacks & Pingbacks
[…] Dieser Bewertung erteilte der EuGH mit seiner Entscheidung vom 05.12.2023 – Az. C-807/21 (hier online via EUR-LEX) eine Abfuhr (vgl. unseren Beitrag). […]
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!