Wer haftet bei Datenschutzverstößen?

In dem Ausgangsverfahren ging es um einen Bußgeldbescheid, der gegen ein großes deutsches Wohnungsunternehmen wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt wurde. Das Landgericht stellte das Verfahren ein, da es davon ausging, dass Datenschutzverstöße nur von Menschen begangen werden können. Zwar könne das Verhalten eines Menschen einer juristischen Person zugerechnet werden, aber es sei dabei erforderlich, dass dieser Mensch Organmitglied oder Repräsentant der juristischen Person sei. Die zuständige Staatsanwaltschaft erhob hiergegen Beschwerde beim Kammergericht, das sich dann an den EuGH wandte.

Der EuGH stellte zunächst klar, dass sich die DSGVO an Verantwortliche richtet. Da die DSGVO nicht zwischen natürlichen Personen und juristischen Personen unterscheidet, sei der Begriff des Verantwortlichen weit zu verstehen. Deshalb können Bußgelder auch unmittelbar gegen juristische Personen verhängt werden.

Weiterhin stellte der EuGH klar, dass nach Art. 83 DSGVO ein Verschulden, also Vorsatz oder Fahrlässigkeit, vorliegen muss. Dabei ist es aber nicht erforderlich, dass der Verstoß durch ein Leitungsorgan des Verantwortlichen begangen wurde. Es sei nicht einmal erforderlich, dass dieser von dem Verstoß wusste. Es reicht vielmehr aus, wenn ein zuständiger Mitarbeiter des Verantwortlichen gehandelt hat.

Stand: 26. Juni 2024