In einer Pressemitteilung vom 5. Dezember 2023 äußert sich der Gerichtshof der Europäischen Union (EuGH) zu den Voraussetzungen, unter denen eine Geldbuße nach Art 83 Datenschutz-Grundverordnung (DSGVO) gegen einen für die Datenverarbeitung Verantwortlichen verhängt werden kann.
Der EuGH stellt darin zum einen klar, dass die Verhängung einer solchen Geldbuße nur bei schuldhaftem Verhalten, also bei einem entweder vorsätzlichen oder fahrlässigen Verstoß gegen die DSGVO, erfolgen kann. Gehört der Adressat der Geldbuße zudem einem Konzern an, so ist bei der Berechnung der Geldbuße auf den Jahresumsatz des Konzerns abzustellen. Letztlich erkennt der EuGH, dass bei Verstößen jeder Person, die im Namen einer juristischen Person im Rahmen ihrer unternehmerischen Tätigkeit begangen wurden, Geldbußen gegen die juristische Person als Verantwortliche verhängt werden können.
Hintergrund
Hintergrund dieser Klarstellung sind zwei Vorabentscheidungsersuchen an den EuGH. Nach Art 267 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) haben die nationalen Gerichte der Mitgliedstaaten dadurch die Möglichkeit, Fragen nach der Auslegung einer Vorschrift des Unionsrechts an den EuGH heranzutragen und dessen Urteil ihrer eigenen Entscheidung zugrunde zu legen.
Von dieser Möglichkeit hat einerseits das Regionalverwaltungsgericht Vilnius, Litauen (Rechtssache C-683/21) Gebrauch gemacht und – neben anderen Fragen – um eine Auslegung des Art 83 DSGVO in einem Rechtsstreit zwischen dem Nationalen Zentrum für öffentliche Gesundheit beim Gesundheitsministerium, Litauen (NZÖG) und der Litauischen staatlichen Datenschutzaufsichtsbehörde angesucht. Gegenstand des Rechtsstreits war die Beauftragung eines IT-Unternehmens durch das NZÖG mit der Entwicklung einer Anwendung zur Erfassung und Überwachung der Daten von Personen, die dem COVID-19-Virus ausgesetzt waren, woraufhin die litauische Aufsichtsbehörde mit Beschluss eine Geldbuße nach Art 83 DSGVO sowohl gegen das NZÖG als auch gegen das IT-Unternehmen verhängte. Neben Fragen der gemeinsamen Verantwortlichkeit ersuchte das Gericht um Klärung der Frage, ob die Bestimmung des Art 83 Abs 1 DSGVO auch Fälle der verschuldensunabhängigen Haftung umfasst.
Einen weiteren Anlass für die Beschäftigung mit der Auslegung des Art 83 DSGVO bot ein Vorabentscheidungsersuchen des Kammergerichts Berlin, Deutschland im Rechtsstreit Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin (Rechtssache C-807/21). Darin wurden die Fragen aufgeworfen, unter welchen Voraussetzungen ein Unternehmen unmittelbar Beschuldigter in einem Bußgeldverfahren wegen eines Verstoßes nach Art 83 DSGVO sein kann und, ob für die Verhängung einer Geldbuße ein schuldhaftes Verhalten erforderlich ist oder ob bereits ein objektiver Pflichtenverstoß nach dem „strict-liability-Grundsatz“ ausreicht. Die österreichische Datenschutzbehörde hat in Reaktion auf das Vorabentscheidungsersuchen des Kammergerichts sämtliche Verwaltungsstrafverfahren gegen juristische Personen im jeweiligen Verfahrensstatus ausgesetzt, um die Entscheidung des Europäischen Gerichtshofs über die Auslegung des Art 83 DSGVO abzuwarten.
Entscheidungen
Der EuGH hat am 5. Dezember 2023 in beiden Verfahren entschieden und präzisiert in seinen Urteilen folgende Voraussetzungen für die Verhängung einer Geldbuße nach Art 83 DSGVO:
• Zunächst legt er fest, dass eine Geldbuße nur verhängt werden kann, wenn der für die Datenverarbeitung Verantwortliche den Verstoß schuldhaft (vorsätzlich oder fahrlässig) begangen hat. Der EuGH geht davon aus, dass der Verantwortliche schuldhaft handelt, wenn er sich über die Rechtswidrigkeit seines Verhaltens jedenfalls nicht im Unklaren sein konnte. Es muss ihm dabei aber nicht bewusst sein, dass er gegen die Bestimmungen der DSGVO verstößt.
• Eine juristische Person haftet nicht nur für Verstöße, die von ihren Vertretern, Leitungsorganen oder Geschäftsführern begangen werden, sondern auch für Verstöße jeder sonstigen Person, die im Rahmen ihrer unternehmerischen Tätigkeit im Namen der juristischen Person handelt. Die Geldbuße darf überdies auch verhängt werden, wenn keine konkrete verantwortliche Person für den Verstoß bekannt ist.
• Auch können Verarbeitungsvorgänge des Auftragsverarbeiters die Verpflichtung des Verantwortlichen zur Zahlung einer Geldbuße auslösen, sofern diese Vorgänge dem Verantwortlichen zurechenbar sind. Weiters besteht eine gemeinsame Verantwortung, wenn die beteiligten Einrichtungen bei der Entscheidung über Zwecke und Mittel der Verarbeitung mitgewirkt haben. Es muss keine förmliche Vereinbarung getroffen werden, sondern gemeinsame oder übereinstimmende Entscheidungen genügen.
• Der Gerichtshof hält zudem fest, dass sich die Aufsichtsbehörde bei der Verhängung einer Geldbuße auf den wettbewerbsrechtlichen Begriff „Unternehmen“ª stützen und bei der Berechnung des Höchstbetrags der Geldbuße den gesamten Jahresumsatz, welchen das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat, heranziehen muss.
Reaktionen
Die Präzisierung der Voraussetzungen, unter denen Geldbußen gegen einen für die Datenverarbeitung Verantwortlichen verhängt werden können, hat äußerst positive Reaktionen ausgelöst. So begrüßt der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, diese Klarstellung und spricht davon, dass dadurch Rechtssicherheit geschaffen und Datenschutz noch effektiver umsetzbar würde. Auch die mit der rechtsfreundlichen Vertretung der Deutsche Wohnen SE betrauten Kanzleien zeigen sich über das Urteil erfreut und unterstreichen die Bedeutung der Vorabentscheidung für die Klärung wichtiger Fragen zur Anwendung der DSGVO. Damit ist die Rolle des Verschuldens bei der Verhängung von Geldbußen durch die Aufsichtsbehörden endlich geklärt und auch weitere Unklarheiten bei der Auslegung des Art 83 DSGVO konnten durch den EuGH ausgeräumt werden.
Beitragsbild: EuGH Grosse Kammer – Foto: Gerichtshof der Europäischen Union