Der EuGH hat gestern zu C-807/21 (Deutsche Wohnen) eine Leitentscheidung zur Frage der Verhängung von Geldbußen nach Art 83 DSGVO getroffen, die durch die in Österreich inhaltsgleich wie in Deutschlang implementierte Regelung in § 30 Abs 1 und 2 DSG auch entsprechend Sprengkraft für nationale Verwaltungsstrafverfahren hat. Die zahlreichen bei der DSB anhängigen und bis zu dieser Entscheidung des EuGH unterbrochenen Verfahren werden daher nun zeitnah wieder fortgesetzt. Zum Hintergrund:
Bisherige Zurechnung zum Vertretungsorgan
Nach § 30 Abs 1 und 2 DSG kann die DSB, wie im österreichischen Verwaltungsstrafverfahren generell üblich, nur dann eine Geldbuße aufgrund eines DSGVO Verstoßes gegen eine juristische Person verhängen, wenn eine Person eines Organs der juristischen Person, die eine Führungsposition innehat, (i) die Tat begangen hat (Abs 1) oder (ii) deren Begehung durch eine andere Person durch mangelnde Überwachung oder Kontrolle zumindest ermöglicht hat (Abs 2). Die in der aktuellen EuGH Entscheidung gegenständliche deutsche Regelung in § 30 OWiG hat denselben Regelungsinhalt und wirkt sich die Entscheidung damit indirekt auch auf österreichische Verwaltungsstrafverfahren bei DSGVO Verstößen aus. Die DORDA Datenschutzexperten haben die zwei Kernaussagen des EuGH gerne für Sie zusammengefasst:
Grundvoraussetzung – schuldhafte Handlung
Gegen einen Verantwortlichen kann nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt (oder nicht).
Damit schiebt der EuGH einer ausufernden, verschuldensunabhängigen Haftung an sich einen Riegel vor. Im selben Atemzug erteilt der EuGH aber der in Österreich und Deutschland vorherrschenden Erforderlichkeit der Zurechnung des Verstoßes an eine natürliche (Führungs-)Person aber eine klare Absage:
Keine Zurechnung an ein Leitungsorgan erforderlich
Handelt es sich bei dem Verantwortlichen, dem ein DSGVO Verstoß angelastet wird, um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ überhaupt Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Kurzum: Auf ein schuldhaftes Verhalten einer Führungsperson kommt es für die Verhängung einer Geldbuße nicht (zwingend) an.
Weitere Erkenntnisse zum Haftungsumfang
Zudem hat der EuGH in einem Parallelverfahren zu C-683/21 festgehalten, dass gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können. Das streicht die erforderliche, sorgfältige Auswahl von Auftragsverarbeitern als auch deren laufende Steuerung und Überwachung noch einmal deutlich heraus. In der Praxis ist dies vor allem entsprechend bei der Verhandlung von Auftragsverarbeitungsvereinbarungen nach Art 28 DSGVO zu beachten.
Fazit
Als Folge der Leitentscheidung des EuGH zu Deutsche Wohnen werden in Österreich nun zahlreiche anhängige, bisher aber unterbrochene Verwaltungsstrafverfahren fortgesetzt werden. Wie dabei die DSB nun formalrechtlich die Schuldhaftigkeit eines DSGVO Verstoßes direkt durch die juristische Person und ohne Zurechnung zu einem Führungsorgan löst, bleibt noch offen. Wir halten Sie selbstverständlich dazu auf dem Laufenden und gehen bei unserem DSGVO Clarity Talk am 13.12.2023 noch einmal dazu ins Detail.