Geldbuße nur bei schuldhaftem DSGVO-Verstoß eines Verantwortlichen

eine Geldbuße we­gen Ver­stoßes ge­gen die DS­GVO verhängen können.

Mit Ur­tei­len vom 05.12.2023 (Rs. C-807/21, Deut­sche Woh­nen, und Rs. 683/21, Nacio­nali­nis vi­suo­menės svei­ka­tos cen­tras) hat der EuGH ent­schie­den, dass die Be­stim­mun­gen in Art. 58 Abs. 2 Buchst. i und Art. 83 Abs. 1 bis 6 DS­GVO ei­ner na­tio­na­len Re­ge­lung ent­ge­gen­ste­hen, wo­nach eine Geldbuße we­gen ei­nes in Art. 83 Abs. 4 bis 6 DS­GVO ge­nann­ten Ver­stoßes ge­gen eine ju­ris­ti­sche Per­son in ih­rer Ei­gen­schaft als Ver­ant­wort­li­che nur dann verhängt wer­den kann, wenn die­ser Ver­stoß zu­vor ei­ner iden­ti­fi­zier­ten natürli­chen Per­son zu­ge­rech­net wurde.

Nach Auf­fas­sung des EuGH sind die Mit­glied­staa­ten nicht be­fugt, ma­te­ri­elle Vor­aus­set­zun­gen vor­zu­se­hen, die zu den in Art. 83 Abs. 1 bis 6 DS­GVO ge­re­gel­ten Vor­aus­set­zun­gen hin­zu­tre­ten. Eine Geldbuße dürfe nach Art. 83 DS­GVO wei­ter nur dann verhängt wer­den, wenn nach­ge­wie­sen sei, dass der Ver­ant­wort­li­che, der eine ju­ris­ti­sche Per­son und zu­gleich ein Un­ter­neh­men ist, einen in Art. 83 Abs. 4 bis 6 ge­nann­ten Ver­stoß vorsätz­lich oder fahrlässig be­gan­gen hat (Rs. C-807/21).

Hin­weis: Im Ver­fah­ren C-683/21 ent­schied der EuGH darüber hin­aus, dass eine Geldbuße auch für Ver­ar­bei­tungs­vorgänge verhängt wer­den darf, die von einem Auf­trags­ver­ar­bei­ter durch­geführt wur­den, so­fern diese Vorgänge dem Ver­ant­wort­li­chen zu­ge­rech­net wer­den können. Zur ge­mein­sa­men Ver­ant­wort­lich­keit von zwei oder mehr Ein­rich­tun­gen hat das Ge­richt aus­geführt, dass diese sich al­lein dar­aus er­gibt, dass die Ein­rich­tun­gen an der Ent­schei­dung über die Zwecke und Mit­tel der Ver­ar­bei­tung mit­ge­wirkt ha­ben.