Geldbuße nur bei schuldhaftem DSGVO-Verstoß eines Verantwortlichen
In zwei Fällen hat der EuGH die Voraussetzungen präzisiert, unter denen nationale Aufsichtsbehörden gegen einen oder mehrere für die Datenverarbeitung Verantwortliche eine Geldbuße wegen Verstoßes gegen die DSGVO verhängen können.
eine Geldbuße wegen Verstoßes gegen die DSGVO verhängen können.
Mit Urteilen vom 05.12.2023 (Rs. C-807/21, Deutsche Wohnen, und Rs. 683/21, Nacionalinis visuomenės sveikatos centras) hat der EuGH entschieden, dass die Bestimmungen in Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 DSGVO einer nationalen Regelung entgegenstehen, wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Nach Auffassung des EuGH sind die Mitgliedstaaten nicht befugt, materielle Voraussetzungen vorzusehen, die zu den in Art. 83 Abs. 1 bis 6 DSGVO geregelten Voraussetzungen hinzutreten. Eine Geldbuße dürfe nach Art. 83 DSGVO weiter nur dann verhängt werden, wenn nachgewiesen sei, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 genannten Verstoß vorsätzlich oder fahrlässig begangen hat (Rs. C-807/21).
Hinweis: Im Verfahren C-683/21 entschied der EuGH darüber hinaus, dass eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden darf, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können. Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen hat das Gericht ausgeführt, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben.