EuGH zu Geldstrafen bei Verstoß gegen die DSGVO: Die Verfahrenshürden für Bußgeldverhängungen bei Datenschutzverstößen werden beseitigt. Unternehmer können nun sogar zur Verantwortung gezogen werden, wenn es zu Datenschutzverstößen bei Dienstleistern kommt.
Nationale Regelungen unwirksam
Der EuGH hielt fest, dass sich die Verhängung von Bußgeldern allein nach der DSGVO richtet. Nationale Regelungen, die anderes vorsehen, sind unwirksam. Konkret wurden etwa § 30 und § 130 OWiG (dt. Ordnungswidrigkeitengesetz, vergleichbar mit dem VStG in Österreich) für EU-rechtswidrig erklärt. Dort ging es darum, wann eine juristische Person zu strafen sei und dies war nach dem Gesetzeswortlaut dann der Fall, wenn etwa das vertretungsberechtigte Organ einer juristischen Person, also zum Beispiel der Geschäftsführer einer GmbH, schuldhaft gehandelt hat. Ebenfalls wurden nach dem Gesetzeswortlaut Strafen verhängt, wenn der Inhaber eines Unternehmens Aufsichtsmaßnahmen wenigstens fahrlässig unterlassen hatte.
Es kam also nach dem Gesetzeswortlaut darauf an, dass einer Person aus der Geschäftsleitung konkret ein Verschulden nachgewiesen werden konnte. In diesem Fall konnte das Unternehmen gestraft werden. Der EuGH hat klargestellt, dass es bei Geldstrafen wegen eines DSGVO-Verstoßes hierauf aber nicht ankommt. Wann Geldbußen verhängt werden, richte sich allein nach Art 83 DSGVO.
Kein Verschulden der Geschäftsleitung für Geldbußen erforderlich
Der EuGH hält einen Nachweis des Verschuldens der Unternehmensleitung nicht für erforderlich und nationale Regelungen diesbezüglich für nicht anwendbar: "In Bezug auf juristische Personen bedeutet dies zum einen [...], dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. Zum anderen muss es möglich sein, die in Art. 83 DSGVO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können." (EuGH C‑807/21 - Deutsche Wohnen SE)
Hierbei kommt es auch nicht darauf an, ob sich der Verantwortliche überhaupt über den DSGVO-Verstoß bewusst ist. Dies wird auch durch die folgende Aussage deutlich, die den Verantwortlichen auch für Datenschutzverstöße beim Auftragsverarbeiter heranzieht, solange dieser die Weisungen des Verantwortlichen nicht überschreitet: "[E]ine solche Geldbuße gegen einen Verantwortlichen für personenbezogene Daten betreffende Verarbeitungsvorgänge, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden, kann [verhängt werden], es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Verarbeitungsvorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte." (EuGH, C‑683/21 - Nacionalinis visuomenės sveikatos centras)
Verschulden nach wie vor entscheidend
Hierzu hält der EuGH fest, dass ein Verschulden nach wie vor erforderlich ist:
"Zu diesen Voraussetzungen ist festzustellen, dass Art. 83 Abs. 2 DSGVO die Kriterien anführt, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Kriterien gehört nach Buchst. b dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Dagegen deutet keines der in der genannten Bestimmung aufgeführten Kriterien auf eine Möglichkeit hin, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen. [...]
Der Unionsgesetzgeber hat es jedoch nicht für erforderlich gehalten, zur Gewährleistung eines solchen hohen Schutzniveaus vorzusehen, dass Geldbußen verschuldensunabhängig verhängt werden. In Anbetracht dessen, dass die DSGVO auf ein gleichwertiges und einheitliches Schutzniveau abzielt und hierfür in der gesamten Union gleichmäßig angewandt werden muss, liefe es diesem Ziel zuwider, den Mitgliedstaaten zu gestatten, eine solche Regelung für die Verhängung einer Geldbuße nach Art. 83 DSGVO vorzusehen. Eine solche Wahlfreiheit wäre zudem geeignet, den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen, was den vom Unionsgesetzgeber u. a. in den Erwägungsgründen 9 und 13 der DSGVO dargestellten Zielen zuwiderliefe." (EuGH C‑807/21 - Deutsche Wohnen SE)
Dem Ruf nach einer verschuldensunabhängigen Haftung wurde daher eine klare Absage erteilt.
Bedeutung für Österreich
Die Regelung des § 30 DSG besagt, dass Geldbußen gegen juristische Personen verhängt werden können. Das ist allerdings nur möglich, wenn diese "durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt" haben. Aufgrund dieser Regelung wurde vom BVwG (Erkenntnis vom 26.11.2020, W258 2227269-1/14E) entschieden, dass die Strafe gegen die Österreichische Post aufgehoben werden muss. Die Datenschutzbehörde hatte damals keine konkrete Person (mit Leitungsfunktion) benannt, deren Verschulden der Österreichischen Post AG zuzurechnen sei.
Die Behörde hatte damals schon auf den Streit um die Europarechtskonformität von § 30 OWiG beim Themenkomplex Geldstrafen bei DSGVO-Verstoß hingewiesen, konnte das Gericht damit aber nicht überzeugen.
Der EuGH hat nun klar festgehalten, dass, wenn es sich bei dem Verantwortlichen um eine juristische Person handelt, die Anwendung von Art 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans der juristischen Person voraussetzt. Das schuldhafte Handeln einzelner Mitarbeiter wird demnach für eine Verletzung genügen. Dies wäre im Fall Österreichische Post wohl gegeben gewesen, weswegen man den Fall heute wohl anders entscheiden müsste. Die Behörde hatte mit ihren Zweifeln bezüglich § 30 DSG jedenfalls recht.
Vermeidung von Geldstrafen bei DSGVO-Verstoß: Handlungsbedarf für Unternehmer
Auch Alleingänge einer einzelnen Abteilung ohne Wissen und Wollen der Geschäftsleitung können also zu Strafen nach der DSGVO führen. Umso wichtiger ist es, unternehmensweit auf DSGVO-Compliance zu setzen: Dazu gehört es, Mitarbeiter zu schulen und risikobehaftete Verarbeitungen von der Geschäftsleitung (ggf in Rücksprache mit externen Beratern) freigeben zu lassen.
Sie haben weitere Fragen im Datenschutzrecht?
Sie benötigen Hilfe bei einer Datenschutzverletzung oder möchten sich in anderen Bereichen des Datenschutzrechts durch einen Rechtsanwalt beraten lassen? Als Rechtsanwälte sind wir auf dieses und weitere Rechtsgebiete spezialisiert. Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.
Quellen
EuGH, C‑807/21 - Deutsche Wohnen
EuGH, C‑683/21 - Nacionalinis visuomenės sveikatos centras
BVwG, W258 2227269-1
Comments are closed!