Ein noch recht junges Urteil des Europäischen Gerichtshofs hat Auswirkungen auf derzeit anhängige Fälle im Bereich von Schadenersatz nach Art. 82 der Datenschutz-Grundverordnung (DSGVO). In dem Urteil geht es um die Frage, ob einem Unternehmen das Handeln eines Beschäftigten in Form eines Datenschutzverstoßes zur Last gelegt werden kann.
Schuldhafter Verstoß durch Mitarbeiter erforderlich?
Nicht endgültig entschieden war, ob eine Geldbuße gegen einen Verantwortlichen nur dann verhängt werden kann, wenn ein Datenschutzverstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde. Eine der dem EuGH in dem Verfahren (EuGH, Urteil vom 05.12.2023, Az: C807/21) vorgelegten Rechtsfragen lautete: „Ist Art. 83 Abs. 4 bis 6 DSGVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss […] oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus (’strict liability‘)?“
DSGVO verlangt keine identifizierte natürliche Person
Der EuGH kommt in dem Urteil zu dem Ergebnis: „Somit ergibt sich aus der Zusammenschau von Art. 4 Nr. 7, Art. 83 und Art. 58 Abs. 2 Buchst. i DSGVO, dass eine Geldbuße wegen eines Verstoßes gemäß Art. 83 Abs. 4 bis 6 DSGVO auch gegen juristische Personen verhängt werden kann, sofern sie die Eigenschaft eines Verantwortlichen haben. Dagegen gibt es in der DSGVO keine Bestimmung, die die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängig macht, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde.“
Hohes Datenschutzniveau für natürliche Personen
Es liefe dem Zweck der DSGVO, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten, „zuwider, den Mitgliedstaaten zu gestatten, einseitig und als erforderliche Voraussetzung für die Verhängung einer Geldbuße gemäß Art. 83 DSGVO gegen einen Verantwortlichen, der eine juristische Person ist, zu verlangen, dass der betreffende Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde oder ihr zuzurechnen ist. Außerdem könnte eine solche zusätzliche Anforderung letztlich unter Verstoß gegen Art. 83 Abs. 1 DSGVO die Wirksamkeit und die abschreckende Wirkung von Geldbußen schwächen, die gegen juristische Personen als Verantwortliche verhängt werden.“
Bußgeldbescheid muss konkret verantwortliche Person benennen
In dem Rechtsstreit zwischen einem Unternehmen und der Staatsanwaltschaft Berlin ging es um Geldbußen, die gegen das Unternehmen gemäß Art. 83 DSGVO wegen eines Verstoßes gegen Art. 5 Abs. 1 lit. a, c und e, Art. 6 sowie Art. 25 Abs. 1 DSGVO verhängt wurden.
Die Berliner Beauftragte für den Datenschutz und Informationsfreiheit hat gegen das Unternehmen im Jahr 2019 einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen des Vorwurfs von Verstößen gegen die DSGVO verhängt. Es ging um die Speicherung von Daten von Mieter:innen. Das Landgerichts Berlin stellte dann die Unwirksamkeit des Bußgelbescheids fest, weil die Datenschutzbehörde keine konkret verantwortliche Person für den Verstoß benannt hatte.
Das EuGH-Urteil ist für Datenschutzbehörden hierzulande in Fällen von DSGVO-Schadenersatz von Relevanz, da es in diesen zum Teil um ähnliche Fragen der persönlichen Haftung bei Datenschutzverstößen von juristischen Personen geht.