Wer haftet bei Datenschutzverstößen?
Der Europäische Gerichtshof hatte in dem Verfahren darüber zu entscheiden, ob auch juristische Personen, also Gesellschaften wie GmbHs, AGs, Vereine usw. durch die Datenschutzaufsichtsbehörden mit Bußgeldern belegt werden können und ob ein Datenschutzverstoß immer Vorsatz oder Fahrlässigkeit voraussetzt.
Hintergrund der Vorlagen an den EuGH
In dem Ausgangsverfahren ging es um einen Bußgeldbescheid, der gegen ein großes deutsches Wohnungsunternehmen wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt wurde. Das Landgericht stellte das Verfahren ein, da es davon ausging, dass Datenschutzverstöße nur von Menschen begangen werden können. Zwar könne das Verhalten eines Menschen einer juristischen Person zugerechnet werden, aber es sei dabei erforderlich, dass dieser Mensch Organmitglied oder Repräsentant der juristischen Person sei. Die zuständige Staatsanwaltschaft erhob hiergegen Beschwerde beim Kammergericht, das sich dann an den EuGH wandte.
Verfahren gegen juristische Personen möglich
Der EuGH stellte zunächst klar, dass sich die DSGVO an Verantwortliche richtet. Da die DSGVO nicht zwischen natürlichen Personen und juristischen Personen unterscheidet, sei der Begriff des Verantwortlichen weit zu verstehen. Deshalb können Bußgelder auch unmittelbar gegen juristische Personen verhängt werden.
Verschulden erforderlich
Weiterhin stellte der EuGH klar, dass nach Art. 83 DSGVO ein Verschulden, also Vorsatz oder Fahrlässigkeit, vorliegen muss. Dabei ist es aber nicht erforderlich, dass der Verstoß durch ein Leitungsorgan des Verantwortlichen begangen wurde. Es sei nicht einmal erforderlich, dass dieser von dem Verstoß wusste. Es reicht vielmehr aus, wenn ein zuständiger Mitarbeiter des Verantwortlichen gehandelt hat.
Stand: 26. Juni 2024