Unternehmen haften für DSGVO-Verstöße aller Angestellter
Der Gerichtshof der Europäischen Union (EuGH) entschied am 05.12.23, Rs. C–807/21, im Rahmen eines Vorabentscheidungsverfahrens, dass Unternehmen neben DSGVO-Verstößen von Leitungspersonal oder Geschäftsführern auch für Verstöße jeglicher Angestellter zu haften haben. Weiterhin hielt der EuGH in seiner Entscheidung fest, dass der Verstoß hierbei nicht einmal einer konkret „identifizierten natürlichen Person“ zugeordnet werden müsse. Allerdings stellte der Gerichtshof klar, dass solche Verstöße nur bußgeldlich geahndet werden können, wenn dem Unternehmen schuldhaftes Verhalten (Vorsatz oder Fahrlässigkeit) nachgewiesen werden kann. Einer sog. „strict liability“ im Sinne einer von manchen Behörden favorisierten verschuldensunabhängigen Haftung erteilte der EuGH damit eine Absage.
Die Verhängung von Bußgeldern gegen juristische Personen setzt nach deutschem Ordnungswidrigkeitsrecht einen Verstoß von Führungskräften wie beispielsweise Geschäftsführern voraus (§ 30 OWiG). Das Gericht entschied nun, dass dieser Haftungsrahmen bei Verstößen gegen DSGVO-Vorschriften zu restriktiv ist. Die Verhängung eines Bußgeldes erfordert aus Sicht des EuGH keinen Verstoß auf Leitungsebene. Außerdem ist ein Verstoß ggü. einem Unternehmen auch dann sanktionierbar, wenn er keiner konkret identifizierten natürlichen Person zugerechnet werden kann. Für eine Anwendung von § 30 OWiG bleibt hier demnach kaum noch Raum.
Dennoch muss die Behörde dem Unternehmen ein Verschulden nachweisen. Ob das Verschulden der faktisch handelnden Einzelperson oder des Organs maßgeblich ist, ließ das Gericht offen. Es stellt allerdings klar, dass eine Haftung nicht zwingend eine Handlung oder überhaupt Kenntnis seitens eines Leitungsorgans voraussetzt. Der Haftungsmaßstab wird damit überaus niedrig angesetzt. Ein schlichtes Nachweisen der Unkenntnis von Verstößen im Unternehmen wird selten ausreichen, um einer Haftung zu entgehen. Die Leitungsebene wird verpflichtet, aktiv für die Einhaltung der DSGVO im gesamten Unternehmen Sorge zu tragen.
In einem weiteren, am gleichen Tag ergangenen Urteil stellte der EuGH klar, dass DSGVO-Verstöße von Auftragsverarbeitern eine Haftung der verantwortlichen Person (Auftraggeber) nach sich ziehen können. Auftraggeber können trotz Auslagerung von Verarbeitungstätigkeiten an Dienstleister haftbar sein, es sei denn, es gelingt dem Auftraggeber darzulegen, dass die Verarbeitung des Dienstleisters mit seinen Weisungen nicht übereinstimmte.
Für Unternehmen bedeutet dies insgesamt eine Ausweitung des Haftungsrisikos. Behörden müssen zukünftig zwar stets ein Verschulden nachweisen, dies wird jedoch aufgrund der niedrig angesetzten Anforderungen des EuGH nur in wenigen Fällen problematisch sein.
Sollten Sie hierzu Fragen haben, sprechen Sie uns gerne an!
Ihr Team von
PAULY•Rechtsanwälte
Cäcilienstraße 30
50667 Köln
Tel.: 0221 / 250 890 – 0
Fax: 0221 / 250 890 – 69
www.pauly-rechtsanwaelte-koeln.de
Köln, 15.01.2024