Unter welchen konkreten Voraussetzungen können DSGVO-Bußgelder gegenüber Verantwortlichen verhängt werden? Ist es dafür nötig, dass einzelne Personen des Managements von dem beanstandeten Handeln wussten oder sie sogar selbst handelten? Zwei lang erwartete Urteil des EuGHs bringen etwas mehr Klarheit, wenngleich der Richterspruch vielen Verantwortlichen nicht schmecken dürfte (Urteile vom 5. Dezember 2023, Az.: C‑683/21 und C‑807/21).
Vorlagefragen an den EuGH
In den Rechtssachen des Litauischen Nationalen Zentrums für öffentliche Gesundheit (Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos) gegen die Litauische Datenschutzbehörde Valstybinė duomenų apsaugos inspekcija sowie Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin wurde der EuGH von den jeweiligen nationalen Gerichten um die Klärung einiger grundsätzlicher Fragen gebeten:
- Wer ist im relevanten Sinne der „Verantwortliche“, insbesondere wenn mit anderen Stellen zusammengearbeitet wird?
- Setzt ein Bußgeld voraus, dass der zugrunde liegende Verstoß einer bestimmten Person zugeordnet werden kann und muss diese Person der Leitungsebene angehören?
- Ist ein Verschulden notwendig?
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Richterspruch des EuGH
Verantwortlicher
Das Gericht geht nachvollziehbar von der Definition in Art. 4 Nr. 7 DSGVO aus. Verantwortlicher ist demnach, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Es geht also nicht darum, wer die Verarbeitung tatsächlich übernimmt. Verantwortlich ist, wer die Verarbeitung aus Eigeninteresse beeinflusst und an der Entscheidung über die Zwecke und Mittel zumindest mitwirkt. Wer veranlasst, dass und wie Daten verarbeitet werden, ist verantwortlich.
Verantwortung besteht also auch dann, wenn eine andere Stelle veranlasst wird, Daten zu verarbeiten. Ausreichend ist, dass auf Entscheidung und Veranlassung des Verantwortlichen in seinem Namen oder Interesse Daten verarbeitet werden. Es ist unerheblich, ob der Verantwortliche mit den Daten selbst in Berührung kommt.
Ob zwischen mehreren Beteiligten irgendeine Regelung getroffen wurde, ist nicht relevant. Dies gilt selbst in Fällen, in denen eine vertragliche Regelung zwingend wäre – etwa bei gemeinsamer Verantwortung oder Auftragsverarbeitung.
Schuldfrage
Das Gericht stellt klar, dass ein Bußgeld nur verhängt werden kann, wenn den Verantwortlichen auch eine Schuld trifft. Es stellt aber genauso klar, dass an dieses Verschulden keine besonderen oder besonders hohen Anforderungen gestellt werden. Ein Vorsatz ist nicht nötig, Fahrlässigkeit ist ausreichend.
Es genügt ferner, dass der Verstoß dem Verantwortlichen als Organisation vertretbar zugerechnet werden kann. Es ist nicht erheblich, ob Personen aus der Leitungsebene gehandelt haben oder von dem Vorgang überhaupt Kenntnis hatten. Es ist auch sonst nicht erforderlich, dass bekannt ist, wer konkret den Verstoß begangen hat. Entscheidend ist, dass der Verstoß mit der entsprechenden Sorgfalt hätte verhindert werden können.
Im Klartext: Unter der DSGVO gibt es ein allgemeines Organisationsverschulden, was insbesondere der deutschen Rechtspraxis so eher unbekannt ist.
Auch eine Zurechnung von Verschulden ist möglich. Wer Auftragsverarbeiter einsetzt, kann mit einem Bußgeld belegt werden, wenn beim Auftragsverarbeiter ein Verstoß erfolgt, der dem Verantwortlichen zugerechnet werden kann und sich mit der entsprechenden Sorgfalt hätte verhindern lassen.
Datenschutzrechtliche Beurteilung
Der EuGH macht mit diesen Urteilen klar, dass die Bußgelddrohung tatsächlich so ernst zu nehmen ist, wie mit Einführung der DSGVO befürchtet. Wer seine datenschutzrelevanten Prozesse nicht nachweislich im Griff hat oder wer sich gleich gar nicht kümmert, kann dafür herangezogen werden. Dies gilt im eigenen Haus genauso wie in Beziehung zu Dienstleistern.
Alle Organisationen sollten daher spätestens jetzt dringend überprüfen, ob
- alle datenschutzrelevanten Prozesse mit einem ausreichenden Reifegrad etabliert sind und
- alle Kooperationen im notwendigen Maße geregelt sind und angemessen kontrolliert werden.
Nur wenn die im Falle eines Verstoßes relevanten Prozesse korrekt geregelt und tatsächlich umgesetzt waren und auch Kontrollen und notwendige Korrekturen erfolgten, liegt kein Verschulden vor. Wenn dann trotz aller korrekten Bemühungen dennoch ausnahmsweise etwas schief geht, droht zumindest kein Bußgeld.
Es ist also allerhöchste Zeit, ein vollständiges Datenschutz-Managementsystem (DSMS) einzurichten und nicht nur auf Feigenblattlösungen zu setzen.
