DSGVO | Geldbuße bei Verstoß gegen die Datenschutz-Grundverordnung (EuGH)
Der EuGH hat die Voraussetzungen präzisiert, unter denen die
nationalen Aufsichtsbehörden eine Geldbuße gegen einen oder mehrere für die
Datenverarbeitung Verantwortliche wegen Verstoßes gegen die DSGVO verhängen
können ( "Nacionalinis visuomenės
sveikatos centras" und C-807/21 "Deutsche Wohnen").
Sachverhalt: Ein litauisches und ein deutsches Gericht haben den Gerichtshof ersucht, die Datenschutz-Grundverordnung (DSGVO) auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.
Im litauischen Fall wendet sich das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium gegen eine Geldbuße in Höhe von 12.000 Euro, die ihm im Zusammenhang mit der Entwicklung (mit Unterstützung durch ein privates Unternehmen) einer mobilen Anwendung auferlegt wurde, die der Erfassung und Überwachung der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte.
Im deutschen Fall wendet sich das Immobilienunternehmen Deutsche Wohnen, das mittelbar rund 163.000 Wohneinheiten und 3.000 Gewerbeeinheiten hält, u. a. gegen eine Geldbuße von über 14 Mio. Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.
Hierzu führten die Richter des EuGH weiter aus:
Gegen einen für die Datenverarbeitung Verantwortlichen kann nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde.
Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.
Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte.
Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.
Außerdem kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.
Eine gemeinsame Verantwortlichkeit von zwei oder mehr Einrichtungen ergibt sich allein daraus, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen.
Bei der Bemessung der Geldbuße muss sich die Aufsichtsbehörde, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.
Quelle: EuGH, Pressemitteilung v. (il)
Fundstelle(n):
NWB IAAAJ-54033