Am 5. Dezember 2023 verkündete der Europäische Gerichtshof wegweisende Entscheidungen in den Fällen C-683/21 („Nacionalinis visuomenės sveikatos centras“) und C-807/21 („Deutsche Wohnen“) nach Vorabentscheidungsersuchen aus Litauen und Deutschland. Die Urteile haben erhebliche Auswirkungen auf die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) und weichen von bisherigen Praktiken ab.
Die Kernpunkte der EuGH-Entscheidungen im Überblick:
Schuldhaftigkeit als Schlüsselkriterium:
Der EuGH betont in den Entscheidungen, dass Geldbußen gegen einen Verantwortlichen nur dann verhängt werden können, wenn der Verstoß gegen die DSGVO schuldhaft begangen wurde. Dies gilt auch dann, wenn der Verantwortliche über die Rechtswidrigkeit seines Handelns nicht im Unklaren sein kann.
Unabhängigkeit von Leitungsorgan und Wissen:
Insbesondere für juristische Personen ist es nicht mehr zwingend erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ von dem Verstoß wusste. Die Verhängung von Geldbußen gegen juristische Personen als Verantwortliche setzt nicht voraus, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.
Diese Klarstellung ist wichtig, da sie es den Datenschutzbehörden erleichtert, auch gegen juristische Personen als Verantwortliche vorzugehen. Im deutschen Ordnungswidrigkeitenrecht ist diese Möglichkeit grundsätzlich nicht vorgesehen, da es stets der Handlung einer natürlichen Person bedarf.
Verantwortlichkeit für Auftragsverarbeiter:
Der EuGH hebt hervor, dass Geldbußen gegen einen Verantwortlichen auch für Verarbeitungsvorgänge verhängt werden können, die von einem Auftragsverarbeiter durchgeführt wurden. Dies gilt, sofern diese Vorgänge dem jeweiligen Verantwortlichen zugerechnet werden können.
Diese Entscheidung ist ebenfalls von Bedeutung, da sie die Verantwortung von Verantwortlichen für die Datenverarbeitung durch Auftragsverarbeiter erhöht.
Gemeinsame Verantwortlichkeit präzisiert:
Die Entscheidungen verdeutlichen, dass eine gemeinsame Verantwortlichkeit nach Artikel 26 der DSGVO allein daraus resultiert, dass an einer Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt wurde.
Diese Präzisierung ist wichtig, da sie die Rechtslage zu diesem komplexen Thema vereinheitlicht.
Fazit:
Die EuGH-Urteile markieren einen bedeutenden Schritt in Richtung effektiverer DSGVO-Durchsetzung. Sie setzen ein klares Signal für einen rigorosen Datenschutz in der Europäischen Union.
Unternehmen müssen nun verstärkt darauf achten, dass ihre Datenverarbeitungspraktiken im Einklang mit der DSGVO stehen, da die Gefahr von Geldbußen nicht mehr allein vom Handeln ihrer Führungsebene abhängt und ein konkretes Verschulden einzelner Mitarbeiter nicht mehr notwendig ist.
Beitrag teilen:
Bildquelle: Bild 3344455 von skylarvision auf pixabay