Aktuelles Verfahren von dem Europäischen Gerichtshof
Wen betrifft das Thema?
Alle Unternehmen und Verbände, die personenbezogene Daten verarbeiten.
Die europäische Datenschutzgrundverordnung (DSGVO) regelt Pflichten für alle Unternehmen und Verbände, die in ihrem Anwendungsbereich personenbezogene Daten verarbeiten. Diese Pflichten betreffen im Grunde den gesamten Datenverarbeitungszyklus, denn der Begriff „Verarbeitung“ von personenbezogenen Daten ist sehr weit gefasst. Für die Verarbeitung von Gesundheitsdaten (zum Beispiel durch Leistungserbringer im Gesundheitsweisen) sieht die DSGVO besondere Regeln und Pflichten vor.
Wer datenschutzrechtliche Pflichten verletzt, muss mit Sanktionen rechnen: „Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen … in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“, besagt Artikel 83 Absatz 1 DSGVO. Als Sanktionen kommen – je nach Art des Verstoßes – Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs in Betracht, je nachdem, welcher der Beträge höher ist.
Aktuelles Verfahren
EuGH soll über Voraussetzungen von Unternehmensgeldbußen entscheiden.
Im deutschen Recht gibt es die Möglichkeit, Bußgelder direkt gegen juristische Personen und Personenvereinigungen zu verhängen. Die zentrale Rechtsgrundlage dafür ist § 30 des Ordnungswidrigkeitengesetzes (OWiG). Diese Vorschrift stellt für die Verhängung eines Bußgelds grundsätzlich zwei wichtige Bedingungen auf:
(1) Adressat des Bußgelds muss eine juristische Person oder eine Personenvereinigung (ein Rechtsträger) sein (Rechtsträgerprinzip);
(2) Grundsätzlich muss ein vorwerfbarer Pflichtverstoß einer natürlichen Person, die für den Rechtsträger handelt, festgestellt werden können (Beispiel: Handeln von Mitgliedern des Vorstands oder der Geschäftsführung)
Im Europäischen Recht gelten aber tendenziell andere Bedingungen: Die Adressaten europäischer Regulierung sind oftmals nicht klar definierte Rechtsträger, sondern Unternehmen (funktionaler Unternehmensbegriff) – ein weites Feld. Außerdem ist bislang nicht geklärt, ob Voraussetzung für die Verhängung von Geldbußen nach der DSGVO ist, dass ein vorwerfbarer Pflichtverstoß einer natürlichen Person, die für das Unternehmen handelt, festgestellt werden kann. Das Kammergericht (Berlin) hat dem Europäischen Gerichtshof (EuGH) deshalb in einem aktuellen Verfahren zu Verstößen gegen die DSGVO die Fragen zur Vorabentscheidung vorgelegt, ob auch im Anwendungsbereich der DSGVO das deutsche Rechtsträgerprinzip gilt und ein vorwerfbarer Pflichtverstoß einer natürlichen Person, die für das Unternehmen handelt, festgestellt werden muss.
Der in diesem Verfahren zuständige Generalanwalt am Europäischen Gerichtshof vertritt in seinen Schlussanträgen vom 27.4.2023 folgende Rechtsauffassung:
(1) Jedenfalls für die Berechnung der Bußgeldhöhe nach der DSGVO könnte der europäische Unternehmensbegriff relevant sein;
(2) die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, sollte nicht von der Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Personen, die im Dienst dieser juristischen Person stehen, abhängen;
(3) Geldbußen, die nach der DSGVO verhängt werden, sollen aber voraussetzen, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.
Compliance
Datenschutz-Compliance steht im Fokus
Damit Geldbußen nach der DSGVO ohne die Feststellung eines individuellen Pflichtverstoßes durch eine natürliche (Leitungs-)Person gegen einen Rechtsträger (Beispiel: eine juristische Person) verhängt werden können, muss man dem Rechtsträger vorsätzliches oder fahrlässiges Verhalten zurechnen. Nach welchen Regeln das im Bereich der DSGVO funktionieren soll, ist aber noch ungeklärt. Nicht ausgeschlossen ist, dass hier weite Kriterien zur Anwendung kommen könnten. Deshalb sollten Unternehmen und Verbände, die personenbezogene Daten verarbeiten, dieses Verfahren zum Anlass nehmen, um ihre Datenschutz-Strukturen insgesamt zu überprüfen und ggf. zu aktualisieren.
Eine Entscheidung des EuGH wird in einigen Monaten erwartet.