Mit der Entscheidung C‑807/21 vom 5.12.2023 hat der EuGH die Voraussetzungen geklärt, unter denen nationale Aufsichtsbehörden Geldbußen gegen juristische Personen wegen Verstößen gegen die DSGVO verhängen können.

Hintergrund

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit („Aufsichtsbehörde“), eine nationale Aufsichtsbehörde im Sinne der DSGVO in Deutschland, hatte im Jahr 2019 gemäß § 30 OWiG Geldbußen in Höhe von insgesamt EUR 14 Mio. gegen die Immobiliengesellschaft Deutsche Wohnen („DW“) wegen angeblicher Verstöße gegen die DSGVO beim Umgang mit Daten von Mietern verhängt. Die DW hat den Bescheid der Aufsichtsbehörde, mit dem die Geldbußen verhängt worden waren, beim Landesgericht Berlin bekämpft. Dieses hat den Bescheid für nichtig erklärt, weil er an derart gravierenden Mängeln gelitten hatte, dass er nicht als Grundlage für die Verhängung von Geldbußen dienen konnte. Die Aufsichtsbehörde hat sich bei der Erlassung des Bescheides nämlich nicht an nationales Recht gehalten. So hat sie entgegen nationalen Bestimmungen keine Feststellungen dazu getroffen, ob und welche Mitarbeiter*innen bei der DW für die Verstöße gegen die DSGVO verantwortlich waren.

Das auf die Beschwerde der Staatsanwaltschaft Berlin mit der Sache befasste Kammergericht Berlin (KG) legte dem EuGH schließlich im Rahmen eines Vorabentscheidungsersuchens die Frage vor, ob die DSGVO den zuständigen nationalen Aufsichtsbehörden unabhängig von den Voraussetzungen des nationalen Rechts einräumt, Geldbußen unmittelbar gegen juristische Personen zu verhängen.

Rechtslage in Österreich

§ 30 DSG enthält allgemeine Bedingungen für die Verhängung von Geldbußen durch die Datenschutzbehörde („DSB“) bei Verstößen gegen das Datenschutzrecht. Demgemäß kann die DSB bei einem Verstoß gegen die DSGVO eine Geldbuße gegen eine juristische Person verhängen, wenn ein Mitglied eines Organs der juristischen Person, das eine Führungsposition innehat, den Verstoß begangen hat (Abs 1) oder den Verstoß durch eine andere Person wegen mangelnder Überwachung oder Kontrolle zumindest ermöglicht hat (Abs 2). Die in der EuGH-Entscheidung gegenständliche deutsche Regelung des § 30 OWiG hat den gleichen Inhalt, weswegen sich die Entscheidung auch auf das österreichische Verwaltungsstrafverfahren bei DSGVO Verstößen auswirkt.

Entscheidung des EuGH

Der EuGH hat nun ausgesprochen, dass die in der DSGVO für datenschutzrechtliche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen verhängt werden können, wenn die Verstöße schuldhaft (fahrlässig oder vorsätzlich) begangen wurden. Das ist der Fall, wenn sich der Verantwortliche der Rechtswidrigkeit seines Verhaltens bewusst war.

In Art 4 Z 7 DSGVO ist der Begriff „Verantwortlicher“ weit definiert als „die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Das Ziel dieser weiten Definition – die ausdrücklich juristische Personen miteinschließt – besteht im Einklang mit den Zielen der DSGVO darin, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten. Somit ergibt sich aus dem Wortlaut und dem Zweck von Art 4 Z 7 DSGVO, dass der Unionsgesetzgeber bei der Bestimmung der Haftung nach der DSGVO nicht zwischen natürlichen und juristischen Personen unterschieden hat. Die einzige Voraussetzung für diese Haftung besteht nämlich darin, dass diese Personen allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.

Vorbehaltlich der Bestimmung von Art 83 Abs 7 DSGVO betreffend Behörden und öffentliche Stellen haftet daher jede Person, die diese Voraussetzung erfüllt – unabhängig davon, ob es sich um eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle handelt – für jeden in Art 83 Abs 4 bis 6 der DSGVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde.

Der EuGH hat in diesem Sinne entschieden, dass eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, haftet, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit im Namen der juristischen Person handelt.

Art 58 Abs 2 DSGVO legt die Befugnisse von nationalen Aufsichtsbehörden zum Erlass von Abhilfemaßnahmen für Verstöße gegen die DSGVO genau fest, ohne auf das nationale Recht der Mitgliedstaaten zu verweisen oder den Mitgliedstaaten einen Ermessensspielraum einzuräumen. Zum einen zielen diese Befugnisse, zu denen gemäß Art 58 Abs 2 lit i DSGVO die Befugnis zur Verhängung von Geldbußen gehört, auf den Verantwortlichen ab, und zum anderen kann ein solcher Verantwortlicher sowohl eine natürliche als auch eine juristische Person sein. Die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer solchen Geldbuße zu beachten hat, sind in Art 83 Abs 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten angeführt.

Somit ergibt sich aus der Zusammenschau von Art 4 Z 7, Art 83 und Art 58 Abs 2 lit i DSGVO, dass eine Geldbuße wegen eines Verstoßes gemäß Art 83 Abs 4 bis 6 DSGVO auch gegen juristische Personen verhängt werden kann, ohne dabei nationales Recht zu beachten, sofern sie die Eigenschaft eines Verantwortlichen haben. Nationales Recht, das nicht mit den materiellen Voraussetzungen des Art 83 DSGVO übereinstimmt, hat unangewendet zu bleiben.

Auswirkungen

Die DSB kann nunmehr unter erleichterten Bedingungen Geldbußen gegen juristische Personen bei Verstößen gegen die DSGVO verhängen, weil § 30 DSG unangewendet zu bleiben hat und juristische Personen nicht mehr nur dann für Verstöße gegen die DSGVO haften, wenn Personen in Organen der juristischen Person, die eine Führungsposition innehaben, diese begangen haben.