Am 05.12.2023 hat der EuGH in zwei Fällen darüber entschieden, unter welchen Voraussetzungen nationale Aufsichtsbehörden Geldbußen gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstößen gegen die DSGVO verhängen können.
Anlass für das Urteil in der Sache C-683/21 war ein Bußgeld, welches die litauische Aufsichtsbehörde gegen das Nationale Zentrum für öffentlich Gesundheit beim Gesundheitsministerium erlassen hatte. Das Zentrum sollte 12.000 EUR zahlen im Zusammenhang mit der Entwicklung (unterstützt durch ein privates Unternehmen) einer mobilen Anwendung, die der Erfassung und Überwachung der Daten von dem Covid-19-Virus ausgesetzten Personen dienen sollte.
In der zweiten Rechtssache (C-807/21) wehrte sich das Immobilienunternehmen Deutsche Wohnen u.a. gegen eine Geldbuße in Höhe von 14. Mio. EUR im Zusammenhang mit personenbezogenen Daten von Mietern, welche länger als erforderlich gespeichert wurden.
In der Entscheidung legte der EuGH fest, dass nur in den Fällen eine Geldbuße wegen eines Verstoßes gegen die DSGVO verhängt werden kann, in denen der für die Datenverarbeitung Verantwortliche diesen Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen hat. Dies sei dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm bewusst war, dass es gegen die Bestimmungen der DSGVO verstoße.
Sofern der Verantwortliche eine juristische Person ist, sei es nicht erforderlich, dass eine Leitungsperson den Verstoß begangen hat oder vom Verstoß Kenntnis hatte. Die juristische Person hafte nicht nur für Verstöße von Leitungspersonen oder Gesellschaftern, sondern auch für Verstöße von jeder sonstigen Person, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Ebenso sei es nicht erforderlich, dass festgestellt werden müsse, dass der Verstoß von einer identifizierten natürlichen Person begangen worden sei.
Sofern das Verhalten eines Auftragsverarbeiters dem Verantwortlichen zugerechnet werden kann, hafte ein Verantwortlicher auch für Verarbeitungsgänge, die von einem Auftragsverarbeiter durchgeführt werden.
Die gemeinsame Verantwortlichkeit von zwei oder mehr Einrichtungen, erklärt der Gerichtshof, ergebe sich allein daraus, dass die Einrichtungen an der Entscheidung über Zwecke und Mittel der Verarbeitung mitgewirkt haben; eine förmliche Vereinbarung sei nicht erforderlich. Allerdings müssen die Beteiligten im Rahmen der gemeinsamen Entscheidung auch ihre jeweiligen Pflichten festlegen.
Bei der Bemessung der Geldbuße sei in den Fällen, in denen der Adressat ein Unternehmen sei oder zu einem Unternehmen gehöre, auf den wettbewerbsrechtlichen Begriff des Unternehmens abzustellen. Der Höchstbetrag der Geldbuße sei daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hatte.
Quellen:
- https://curia.europa.eu/jcms/jcms/p1_4210984/de/
- https://curia.europa.eu/juris/document/document.jsf?text=&docid=280324&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=4502023 (C-683/21)
- https://curia.europa.eu/juris/document/document.jsf?text=&docid=280325&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=4497336 (C-807/21)