- Direkte Haftung juristischer Personen: EuGH ermöglicht Geldbußen gegen juristische Personen ohne Zurechnung an natürliche Personen.
- Schuldhaftes Verhalten als Voraussetzung: Aufsichtsbehörden müssen schuldhaftes Verhalten nachweisen, bevor Geldbußen verhängt werden.
- Konzernumsatz als Bemessungsgrundlage: Geldbußen werden nach dem Umsatz des gesamten Konzerns berechnet, was zu höheren Beträgen führen kann.
- Haftung für Verstöße durch Dritte: Juristische Personen haften auch für Verstöße von Dritten im Rahmen ihrer unternehmerischen Tätigkeit.
- Gemeinsame Verantwortlichkeit: Haftung entsteht durch Mitwirkung an Entscheidungen über Datenverarbeitungszwecke, ohne formelle Vereinbarung.
- Erweiterte Haftung: Urteil senkt Hürden für DSGVO-Bußgelder und erfordert robustes Datenschutz-Compliance-Management.
- Risikobewertung und -steuerung: Unternehmen müssen umfassende Risikobewertungen durchführen und Datenschutzpraktiken kontinuierlich überwachen.
Leitsätze des EuGH-Urteils
- Direkte Haftung juristischer Personen: Der EuGH bestätigt, dass eine Geldbuße nach Art. 83 DSGVO gegen eine juristische Person verhängt werden kann, ohne dass der Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde. Dies stellt eine Abkehr von der bisherigen deutschen Rechtspraxis dar, die eine solche Zurechnung voraussetzte.
- Schuldhaftes Verhalten als Voraussetzung: Eine Geldbuße darf nur verhängt werden, wenn nachgewiesen ist, dass der Verantwortliche (sei es eine natürliche oder juristische Person) den Verstoß vorsätzlich oder fahrlässig begangen hat. Dies bedeutet, dass die Aufsichtsbehörden den Nachweis eines schuldhaften Verhaltens erbringen müssen.
Weitere Aspekte
- Konzernumsatz als Bemessungsgrundlage: Wenn der Adressat der Geldbuße zu einem Konzern gehört, ist bei der Berechnung der Geldbuße der Umsatz des gesamten Konzerns maßgeblich. Dies kann zu erheblich höheren Bußgeldern führen, insbesondere bei großen, multinationalen Konzernen.
- Haftung für Verstöße durch Dritte: Eine juristische Person haftet nicht nur für Verstöße, die von ihren Leitungsorganen begangen werden, sondern auch für solche, die von jeder sonstigen Person im Rahmen ihrer unternehmerischen Tätigkeit im Namen der juristischen Person begangen werden. Dies erweitert den Haftungsumfang erheblich.
- Gemeinsame Verantwortlichkeit: Bei gemeinsamer Verantwortlichkeit mehrerer Einrichtungen für die Datenverarbeitung ergibt sich die Haftung bereits aus der Mitwirkung an der Entscheidung über die Zwecke und Mittel der Verarbeitung. Eine formelle Vereinbarung ist hierfür nicht erforderlich.
Fazit und Handlungsempfehlungen
Dieses Urteil des EuGH senkt die Hürden für die Verhängung von DSGVO-Bußgeldern erheblich und erweitert den Haftungsumfang für Unternehmen. Es unterstreicht die Notwendigkeit für Unternehmen, ein robustes Datenschutz-Compliance-Management-System zu implementieren und die Datenschutzpraktiken kontinuierlich zu überwachen. Insbesondere die Ausweitung der Haftung auf Verstöße durch Dritte und die Berücksichtigung des Konzernumsatzes bei der Bußgeldbemessung erfordern eine umfassende Risikobewertung und -steuerung.
Für weitere Informationen und individuelle Beratung zu diesem Thema stehe ich Ihnen gerne zur Verfügung.