SBS Firmengruppe Logos

| Datenschutzrecht

EuGH: Unternehmen haften für DSGVO-Verstöße der Mitarbeiter


Neues EuGH-Urteil erklärt OWiG-Regelung für europarechtswidrig

Unternehmen haften für die DSGVO-Verstöße, die durch ihre Mitarbeiter begangen werden. Dafür müssen die konkreten Mitarbeiter allerdings gemäß § 30 des Gesetzes über Ordnungswidrigkeiten (OWiG) ausfindig gemacht werden. Doch was passiert, wenn der für den Datenschutzverstoß schuldige Mitarbeiter nicht ausfindig gemacht werden kann? Um die Auslegung der nationalen Vorschrift zu klären, hat der EuGH genau diese Frage in seinem Urteil vom 05.12.2023 beantwortet. Demnach können DSGVO-Bußgelder gegen Unternehmen verhängt werden, wenn diese ein Verschulden trifft - unabhängig davon, ob das Fehlverhalten einzelner Mitarbeiter nachgewiesen werden kann.

EuGH-Urteil wurde durch Bußgeldbescheid wegen Datenschutzverstößen von Mitarbeitern ausgelöst

Der Auslöser für das EuGH-Urteil war ein Bußgeldbescheid gegen die Deutsche Wohnen SE, die seit der Übernahme 2021 zur Vonovia SE gehört und damit Teil des größten deutschen Wohnungskonzerns ist. Das Bußgeld wurde verhängt, weil es bei der Sammlung und Verarbeitung der zu verwaltenden personenbezogenen Daten dier Mieter jahrelang zu Datenschutzverstößen kam. Darauf folgten zunächst datenschutzrechtliche Maßnahmen, die allerdings nur bedingt umgesetzt wurden. Der daraufhin gegen die Deutsche Wohnen SE verhängte Bußgeldbescheid in Höhe von 14,5 Millionen Euro wurde schließlich gerichtlich angegriffen. 

OWiG fordert DSGVO-Verstoß einer natürlichen Person

Das  Landgericht Berlin stellte zunächst das gesamte Bußgeldverfahren ein, weil kein Verstoß einer natürlichen Person - wie ein konkreter Geschäftsführer oder Mitarbeiter - festgestellt werden konnte. Das OWiG fordert in § 30 allerdings mit der Voraussetzung eines nachgewiesenen Verschuldens einer natürlichen Person genau das. Im Rahmen des Beschwerdeverfahrens zweifelte das zuständige Kammergericht schließlich an der Vereinbarkeit der OWiG-Regelung mit den Vorgaben der DSGVO. Um die Vereinbarkeit des OWiG mit dem Datenschutzrecht der EU zu überprüfen, wurde der Fall dem EuGH vorgelegt. 


Keine limitierte Haftung für Unternehmen bei Datenschutzverstößen

In seinem Urteil stellte der EuGH fest, dass die Bußgeldhaftung eines Unternehmens bei Datenschutzverstößen nicht von der vorherigen Feststellung eines Verstoßes einer natürlichen Person als Unternehmensverschulden abhängt. Die limitierte Haftung für juristische Personen nach dem OWiG ist demnach europarechtswidrig. Für die Verhängung eines Bußgeldes bei einem Datenschutzverstoß  muss der konkrete Mitarbeiter, der die personenbezogenen Daten rechtswidrig verarbeitet hat, somit nicht im Unternehmen gefunden werden.

Verstoß muss nicht von einem Unternehmensvertreter begangen worden sein

Es muss lediglich feststehen, dass irgendein Mitarbeiter einen Verstoß gegen die DSGVO begangen hat. Die jeweilige Ebene oder Position des Mitarbeiters im Unternehmen ist somit irrelevant, sodass es sich auch um untergeordnete Mitarbeiter und keine Leitungsperson handeln kann. Juristische Personen haften zudem bei Verstößen, die von Auftragnehmern begangen wurden. Damit sind auch Personen, die im Namen des Unternehmens und im Rahmen ihrer geschäftlichen Tätigkeit handeln, umfasst. EU-Mitgliedsstaaten können lediglich die Verfahrensregeln für Datenschutz-Bußgelder aufstellen, aber keine inhaltlichen Voraussetzungen vorgeben.

Unternehmen haften nicht verschuldensunabhängig bei DSGVO-Verstößen

Die Verhängung eines Bußgelds wegen eines Datenschutzverstoßes setzt allerdings weiterhin ein Verschulden voraus. Der datenschutzrechtlich Verantwortliche muss den DSGVO-Verstoß daher vorsätzlich oder fahrlässig begangen haben. Bei juristischen Personen - wie der Deutsche Wohnen SE - kann dieses Verschulden allerdings auch ein Unternehmensverschulden sein. 


SBS LEGAL - Ihre Anwälte für Datenschutzrecht

Die Verarbeitung personenbezogener Daten ist nahezu überall erforderlich. Um sicherzustellen, dass die DSGVO-Vorgaben von den Verantwortlichen eingehalten und Bußgelder vermieden werden, muss die aktuelle Rechtslage eingehalten werden. Unsere Anwälte für Datenschutzrecht können Ihnen dabei helfen, den Überblick über alle Regelungen zu behalten. 

Sie haben noch Fragen zu der Haftung bei Verstößen gegen die DSGVO?

Zögern Sie nicht, sich bei uns zu melden! Unser Team von SBS LEGAL steht Ihnen bei sämtlichen datenschutzrechtlichen Anliegen zur Seite. 

Der Erstkontakt zu SBS LEGAL ist immer kostenfrei.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht