Setzt eine Bußgeldhaftung eines Unternehmers wegen eines Verstoßes gegen die DSGVO voraus, dass ein schuldhaftes Fehlverhalten einer konkreten natürlichen Person nachgewiesen werden kann? Mit derartigen datenschutzrechtlichen Haftungsfragen befasste sich der EuGH in zwei aktuellen Entscheidungen:
Gegen die Deutsche Wohnen SE wurde im November 2019 ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro verhängt. Der Immobilienkonzern soll zum Teil alte persönliche Daten von Mietern in einem Archiv gespeichert haben, ohne eine Löschmöglichkeit vorzusehen.
Das Unternehmen klagte vor dem Landgericht Berlin gegen den Bußgeldbescheid und das erfolgreich. Die Staatsanwaltschaft legte Beschwerde gegen die Entscheidung ein, woraufhin sich das Berliner Kammergericht an den EuGH wandte.
Der EuGH entschied am 05. Dezember 2023 in der Rechtssache C-807/21, dass auch dann Geldbußen gegen juristische Personen und Unternehmen verhängt werden dürfen, wenn keine konkrete verantwortliche Person für den Datenschutzverstoß bekannt ist. Allerdings dürfen Geldbußen nur verhängt werden, wenn der Verstoß vorsätzlich oder fahrlässig begangen wurde.
Am selben Tag äußerte sich der EuGH in der Rechtssache C-683/1 zu der Frage, ob Geldbußen gegen Verantwortliche verhängt werden können, wenn ihre Auftragsverarbeiter personenbezogene Daten rechtswidrig verarbeiten. Der EuGH entschied, dass eine Einrichtung, die ein Unternehmen mit der Entwicklung einer IT-Anwendung beauftragt und daher an der Entscheidung über die Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher angesehen werden darf. Das ist jedoch nur der Fall, wenn die rechtswidrige Datenverarbeitung des Auftragsverarbeiters innerhalb des Auftrages für den Verantwortlichen erfolgt. Wenn der Auftragsverarbeiter seine Kompetenzen überschreitet und den Verantwortlichen kein Verschulden trifft, wird wohl eine Haftung ausscheiden.
Die Verwendung personenbezogener Daten stellt keine Verarbeitung im Sinne der DSGVO dar, wenn die Daten in entsprechender Weise anonymisiert wurden oder es sich um fiktive Daten handelt.
Die Entscheidungen zeigen: Investieren Sie in Ihre Datenschutz-Compliance. Die Bedeutung des Schadenersatzrechts nimmt im Bereich Datenschutz zu - mit unangenehmen Haftungsfolgen für Unternehmen.
Wir unterstützen Sie gerne bei der Umsetzung rechtssicherer Konzepte - melden Sie sich jederzeit bei uns.