EUGH: ZU DEN VORAUSSETZUNGEN FÜR DIE VERHÄNGUNG VON BUßGELDERN NACH DER DSGVO

Aufgrund der Vorlage sowohl eines litauischen als auch eines deutschen Gerichtes, hat sich der EuGH in zwei Entscheidungen am 05.12.2023 zu den Voraussetzungen für die Verhängung eines Bußgelds nach der DSGVO geäußert.

Aufgrund der Vorlage sowohl eines litauischen als auch eines deutschen Gerichtes, hat sich der EuGH in zwei Entscheidungen am 05.12.2023 zu den Voraussetzungen für die Verhängung eines Bußgelds nach der DSGVO geäußert.

Der EuGH führte zum einen wie folgt aus: Gegen einen für die Datenverarbeitung Verantwortlichen könne nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhangen werden, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies sei dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.

Bei der Bemessung einer Geldbuße müsse sich die Aufsichtsbehörde, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße sei daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.

Weiter führte der EuGH aus: Handelt es sich bei dem Verantwortlichen um eine juristische Person, sei es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ davon Kenntnis hatte. Vielmehr hafte eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche dürfe nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten Person begangen wurde. Zudem könne gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.

Der Gerichtshof hat sich weiter mit der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO auseinandergesetzt und dazu ausgeführt: Diese ergebe sich allein daraus, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setze keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus; eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen würden ausreichen. Wenn es sich dann um gemeinsam Verantwortliche handelt, dann müssten diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.

Quelle: Pressemitteilung des EuGH vom 05.12.2023 zu den Urteilen in den Rechtssachen C-683/21 und C-807/21

 

Zurück