EuGH: Geldbuße setzt schuldhaften Verstoß des Verantwortlichen gegen DSGVO voraus

Veröffentlicht von

So das Gericht in seinem Urteil vom 5. Dezember 2023 (Az.: C‑807/21) im Rahmen eines Vorabentscheidungsersuchens des Kammergerichts Berlin.

Das Gericht sieht als Voraussetzung einen vorsätzlichen oder fahrlässigen Verstoß des Verantwortlichen gegen die Regelungen der DSGVO, um ein Bußgeld verhängen zu können.

Das Gericht führt dazu in den Entscheidungsgründen unter anderem aus:

„…Demnach ist festzustellen, dass Art. 83 DSGVO es nicht gestattet, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 genannten Verstoßes zu verhängen, ohne dass nachgewiesen ist, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist Voraussetzung für die Verhängung einer solchen Geldbuße, dass der Verstoß schuldhaft begangen wurde.

Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker & Co. u. a., C‑681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C‑591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C‑601/16 P, EU:C:2021:244, Rn. 97)…“

Zudem begründet der EuGH auch die Ansicht, dass bei juristischen Person nicht das Vertretungsorgan selbst den Verstoß begangenen haben muss oder davon wissen musste, sondern dass auch eine Haftung für Verstöße der juristischen Person in Gänze für Handlungen besteht , die von Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, aber auch für Verstöße gegen die DSGVO, die von jeder sonstigen Person begangen werden, die für die juristische Person in deren Namen handelt.

Dazu führt das Gericht unter anderem in den Entscheidungsgründen aus:

„..In Bezug auf juristische Personen bedeutet dies zum einen, wie der Generalanwalt in den Nrn. 57 bis 59 seiner Schlussanträge im Wesentlichen festgestellt hat, dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. Zum anderen muss es möglich sein, die in Art. 83 DSGVO für solche Verstöße vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen, wenn diese als für die betreffende Verarbeitung Verantwortliche eingestuft werden können…“