Der EuGH hat mit Urteil vom 05.12.2023 – C-683/21 und C-807/21 zu litauischen und deutschen Vorlagefragen im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen die DSGVO durch Verhängung einer Geldbuße „gegen den für die Datenverarbeitung Verantwortlichen“ zu ahnden, entschieden.
Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen gegen ein Bußgeld in Höhe von EUR 14 Mio. Hintergrund zum Bußgeld war eine aus Sicht der Datenschutzaufsicht unberechtigte (zu lange) Speicherung von personenbezogenen Daten von Mietern der Deutsche Wohnen.
Der EuGH entschied u. a., dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße verhängt werden kann, wenn dieser Verstoß schuldhaft (also vorsätzlich oder aber auch fahrlässig) begangen wurde. Der EuGH entschied ferner, dass der Verantwortliche, sofern er eine juristische Person ist, auch dann haftet, wenn „jede sonstige“ Person gegen die DSGVO verstößt, die im Rahmen ihrer unternehmerischen Tätigkeit handelt. Ein Verstoß des „Leitungsorgans“ ist gerade keine Voraussetzung. Abschließend stellt der EuGH klar, dass der Verantwortliche auch für Verstöße seines Auftragsverarbeiters haften kann, wenn diese Vorgänge dem Verantwortlichen zugerechnet werden können.
Das Urteil ist in vielerlei Hinsicht praxisrelevant. Es zeigt, dass sich eine Verteidigung gegen verhängte Bußgelder immer lohnt. Eine „strict liability“ lehnt der EuGH ab, ein Verschulden bleibt notwendig. Dies ist die generell gute Nachricht für Unternehmen. Auf der anderen Seite wird der Haftungsmaßstab durch die Ausweitung auf „jede sonstige Person“ und auch durch den Einsatz von Auftragsverarbeitern (im Einzelfall) erweitert.
Sorgfältiges Datenschutz-Management ist ein „must-have“ – jetzt erst recht!
Gerne unterstützen wir Sie jetzt und zukünftig zu allen Fragen und Themen, die das Datenschutz-Management, insbesondere die Verteidigung gegen DSGVO-Bußgelder, mit sich bringt. Sprechen Sie uns jederzeit an!