Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Unternehmen haften für die DSGVO-Verstöße, die durch ihre Mitarbeiter begangen werden. Dafür müssen die konkreten Mitarbeiter allerdings gemäß § 30 des Gesetzes über Ordnungswidrigkeiten (OWiG) ausfindig gemacht werden. Doch was passiert, wenn der für den Datenschutzverstoß schuldige Mitarbeiter nicht ausfindig gemacht werden kann? Um die Auslegung der nationalen Vorschrift zu klären, hat der EuGH genau diese Frage in seinem Urteil vom 05.12.2023 beantwortet. Demnach können DSGVO-Bußgelder gegen Unternehmen verhängt werden, wenn diese ein Verschulden trifft - unabhängig davon, ob das Fehlverhalten einzelner Mitarbeiter nachgewiesen werden kann.
Der Auslöser für das EuGH-Urteil war ein Bußgeldbescheid gegen die Deutsche Wohnen SE, die seit der Übernahme 2021 zur Vonovia SE gehört und damit Teil des größten deutschen Wohnungskonzerns ist. Das Bußgeld wurde verhängt, weil es bei der Sammlung und Verarbeitung der zu verwaltenden personenbezogenen Daten dier Mieter jahrelang zu Datenschutzverstößen kam. Darauf folgten zunächst datenschutzrechtliche Maßnahmen, die allerdings nur bedingt umgesetzt wurden. Der daraufhin gegen die Deutsche Wohnen SE verhängte Bußgeldbescheid in Höhe von 14,5 Millionen Euro wurde schließlich gerichtlich angegriffen.
Das Landgericht Berlin stellte zunächst das gesamte Bußgeldverfahren ein, weil kein Verstoß einer natürlichen Person - wie ein konkreter Geschäftsführer oder Mitarbeiter - festgestellt werden konnte. Das OWiG fordert in § 30 allerdings mit der Voraussetzung eines nachgewiesenen Verschuldens einer natürlichen Person genau das. Im Rahmen des Beschwerdeverfahrens zweifelte das zuständige Kammergericht schließlich an der Vereinbarkeit der OWiG-Regelung mit den Vorgaben der DSGVO. Um die Vereinbarkeit des OWiG mit dem Datenschutzrecht der EU zu überprüfen, wurde der Fall dem EuGH vorgelegt.
In seinem Urteil stellte der EuGH fest, dass die Bußgeldhaftung eines Unternehmens bei Datenschutzverstößen nicht von der vorherigen Feststellung eines Verstoßes einer natürlichen Person als Unternehmensverschulden abhängt. Die limitierte Haftung für juristische Personen nach dem OWiG ist demnach europarechtswidrig. Für die Verhängung eines Bußgeldes bei einem Datenschutzverstoß muss der konkrete Mitarbeiter, der die personenbezogenen Daten rechtswidrig verarbeitet hat, somit nicht im Unternehmen gefunden werden.
Es muss lediglich feststehen, dass irgendein Mitarbeiter einen Verstoß gegen die DSGVO begangen hat. Die jeweilige Ebene oder Position des Mitarbeiters im Unternehmen ist somit irrelevant, sodass es sich auch um untergeordnete Mitarbeiter und keine Leitungsperson handeln kann. Juristische Personen haften zudem bei Verstößen, die von Auftragnehmern begangen wurden. Damit sind auch Personen, die im Namen des Unternehmens und im Rahmen ihrer geschäftlichen Tätigkeit handeln, umfasst. EU-Mitgliedsstaaten können lediglich die Verfahrensregeln für Datenschutz-Bußgelder aufstellen, aber keine inhaltlichen Voraussetzungen vorgeben.
Die Verhängung eines Bußgelds wegen eines Datenschutzverstoßes setzt allerdings weiterhin ein Verschulden voraus. Der datenschutzrechtlich Verantwortliche muss den DSGVO-Verstoß daher vorsätzlich oder fahrlässig begangen haben. Bei juristischen Personen - wie der Deutsche Wohnen SE - kann dieses Verschulden allerdings auch ein Unternehmensverschulden sein.
Die Verarbeitung personenbezogener Daten ist nahezu überall erforderlich. Um sicherzustellen, dass die DSGVO-Vorgaben von den Verantwortlichen eingehalten und Bußgelder vermieden werden, muss die aktuelle Rechtslage eingehalten werden. Unsere Anwälte für Datenschutzrecht können Ihnen dabei helfen, den Überblick über alle Regelungen zu behalten.
Zögern Sie nicht, sich bei uns zu melden! Unser Team von SBS LEGAL steht Ihnen bei sämtlichen datenschutzrechtlichen Anliegen zur Seite.