EuGH setzt klare Maßstäbe bei Datenschutzverstößen nach Art 83 DSGVO – Datenschutzbehörde führt ausgesetzte Verwaltungsstrafverfahren weiter
Wie bereits in einem früheren Artikel erläutert, hat die Datenschutzlandschaft in Europa mit dem Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 05.12.2023 im Fall „Deutsche Wohnen“ (C-807/21) zur unmittelbaren Strafbarkeit juristischer Personen einen tiefgreifenden Wandel erlebt. Denn in dem Urteil hat der EuGH klargestellt, dass bei Datenschutzverstößen jeder Person, die im Namen einer juristischen Person im Rahmen ihrer unternehmerischen Tätigkeit begangen wurden, Geldbußen gegen die juristische Person als Verantwortliche verhängt werden können.
Entscheidend ist hierbei, dass laut EuGH die Ermittlung einer bestimmten natürlichen Person nicht notwendig ist, damit die juristische Person zur Verantwortung gezogen werden kann. Daraus folgt, dass juristische Personen für das Handeln aller natürlicher Personen haften, die in ihrem Namen agieren, selbst wenn die Führungskräfte keine Kenntnis von den Handlungen oder Unterlassungen hatten. Bei Verstößen gemäß Art 83 DSGVO ist die verhängte Geldbuße außerdem an dem Jahresumsatz der gesamten wirtschaftlichen Einheit zu bemessen.
In Antizipation dieser Entscheidung hatte die österreichische Datenschutzbehörde (DSB) alle Verwaltungsstrafverfahren gegen juristische Personen gemäß §38 AVG ausgesetzt. Seit der Verkündung des EuGH-Urteils wurden diese Verfahren jedoch wieder weitergeführt und die DSB hat bereits Geldbußen in Höhe von insgesamt EUR 233.275,00 in 19 Verfahren gegen juristische Personen verhängt. Und auch der Verwaltungsgerichtshof (VwGH) hat das ausgesetzte Verwaltungsstrafverfahren gegen die Österreichische Post AG, bei dem es um eine Geldbuße iHv EUR 18 Mio. wegen unrechtmäßiger Verarbeitung personenbezogener Daten geht, im Lichte der Vorabentscheidung zu Art 83 DSGVO durch den EuGH wieder aufgenommen.
Dieses EuGH-Urteil markiert somit einen Meilenstein in der Entwicklung des Datenschutzrechts und wird zweifelsohne eine tiefgreifende Auswirkung auf die Unternehmenspraxis in Europa haben. Unternehmen sind nun gefordert, ihre internen Strukturen und Prozesse im Hinblick auf Datenschutzverstöße zu überprüfen und anzupassen sowie den Datenschutz als integralen Bestandteil ihrer unternehmerischen Verantwortung zu betrachten. In der Folge dieses Urteils sehen sich Unternehmen außerdem in der Pflicht, nicht nur ihre Datenschutzpraktiken zu überdenken, sondern auch alle im Namen des Unternehmens handelnden Personen angemessen in Datenschutzfragen zu schulen und zu informieren.
Autorin
Dr. Madeleine Müller, BA, MU ist Researcher und Consultant am Research Institute – Digital Human Rights Center.