Im Blickpunkt

Der EuGH hat mit zwei Entscheidungen vom 5.12.2023 (C-807/21 und C-683/21, vgl. nachstehend jeweils im Tenor abgedruckt) die Voraussetzungen präzisiert, unter denen die nationalen Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DSGVO verhängen können (vgl. EuGH, PM Nr. 184/23 vom 5.12.2023). Insbesondere stellt er fest, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetze, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Gehöre der Adressat der Geldbuße zu einem Konzern, sei bei der Berechnung der Geldbuße auf den Umsatz des Konzerns abzustellen. Der EuGH entschied, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies sei dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt. Handele es sich bei dem Verantwortlichen um eine juristische Person, sei es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr hafte eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche dürfe nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.

Uta Wichering, Ressortleiterin Wirtschaftsrecht