In eine früheren Beitrag auf meinem Blog itmedialaw.com habe ich bereits kurz das bedeutsame Urteil des EuGH vom 5. Dezember 2023 angesprochen. Hier möchte ich nun eine detailliertere Analyse und Erweiterung vornehmen.
Leitsätze des EuGH-Urteils
- Direkte Haftung juristischer Personen: Der EuGH bestätigt, dass eine Geldbuße nach Art. 83 DSGVO gegen eine juristische Person verhängt werden kann, ohne dass der Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde. Dies stellt eine Abkehr von der bisherigen deutschen Rechtspraxis dar, die eine solche Zurechnung voraussetzte.
- Schuldhaftes Verhalten als Voraussetzung: Eine Geldbuße darf nur verhängt werden, wenn nachgewiesen ist, dass der Verantwortliche (sei es eine natürliche oder juristische Person) den Verstoß vorsätzlich oder fahrlässig begangen hat. Dies bedeutet, dass die Aufsichtsbehörden den Nachweis eines schuldhaften Verhaltens erbringen müssen.
Weitere Aspekte
- Konzernumsatz als Bemessungsgrundlage: Wenn der Adressat der Geldbuße zu einem Konzern gehört, ist bei der Berechnung der Geldbuße der Umsatz des gesamten Konzerns maßgeblich. Dies kann zu erheblich höheren Bußgeldern führen, insbesondere bei großen, multinationalen Konzernen.
- Haftung für Verstöße durch Dritte: Eine juristische Person haftet nicht nur für Verstöße, die von ihren Leitungsorganen begangen werden, sondern auch für solche, die von jeder sonstigen Person im Rahmen ihrer unternehmerischen Tätigkeit im Namen der juristischen Person begangen werden. Dies erweitert den Haftungsumfang erheblich.
- Gemeinsame Verantwortlichkeit: Bei gemeinsamer Verantwortlichkeit mehrerer Einrichtungen für die Datenverarbeitung ergibt sich die Haftung bereits aus der Mitwirkung an der Entscheidung über die Zwecke und Mittel der Verarbeitung. Eine formelle Vereinbarung ist hierfür nicht erforderlich.
Fazit und Handlungsempfehlungen
Dieses Urteil des EuGH senkt die Hürden für die Verhängung von DSGVO-Bußgeldern erheblich und erweitert den Haftungsumfang für Unternehmen. Es unterstreicht die Notwendigkeit für Unternehmen, ein robustes Datenschutz-Compliance-Management-System zu implementieren und die Datenschutzpraktiken kontinuierlich zu überwachen. Insbesondere die Ausweitung der Haftung auf Verstöße durch Dritte und die Berücksichtigung des Konzernumsatzes bei der Bußgeldbemessung erfordern eine umfassende Risikobewertung und -steuerung.
Für weitere Informationen und individuelle Beratung zu diesem Thema stehe ich Ihnen gerne zur Verfügung.
