SCHAFFLAND/WILTFANG
Datenschutz
digital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast
Haftung nach DSGVO  
14.12.2023

EuGH entscheidet zur datenschutzrechtlichen Verantwortung von Unternehmen

ESV-Redaktion Recht
EuGH: Die Haftung eines Unternehmens nach DSGVO setzt nicht voraus, dass ein Leitungsorgan den Datenschutzverstoß begangen hat (Foto: Patrick Daxenbichler / stock.adobe.com)
Der Europäische Gerichtshof (EuGH) entschied über die Frage, unter welchen Voraussetzungen nationale Aufsichtsbehörden Verstöße gegen die DSGVO durch Verhängung einer Geldbuße gegen die für den Datenschutz Verantwortliche Preson ahnden können.

In dem Streitfall wendete sich das Immobilienunternehmen Deutsche Wohnen gegen eine Geldbuße von über 14 Mio. Euro, die ihm auferlegt wurde, weil es personenbezogene Daten von Mietern länger als erforderlich speicherte.

Die Datenschutzbehörden waren der Auffassung, dass eine verschuldensunabhängige Haftung für Verstöße gegen die DSGVO greift, weil für die Verhängung von Bußgeldern gegenüber Unternehmen nach EU-Recht bereits ein objektiver Pflichtenverstoß ausreicht, der dem Unternehmen zuzurechnen ist.

Das Berliner Kammergericht (KG) hatte Zweifel daran und wendete sich zur Klärung der Frage der datenschutzrechtlichen Verantwortung von Unternehmen mit einem Vorabentscheidungsersuchen an den EuGH gewendet (mehr dazu unten).

  Der kostenlose Newsletter Recht – Hier können Sie sich anmelden! 
  Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

EuGH: Haftung nach DSGVO setzt Verschulden des Verantwortlichen für die Datenverarbeitung voraus

Auf die mündliche Verhandlung vom 17.01.2023 hat der EuGH nun mit Urteil vom 05.12.2023 wie folgt entschieden:
  • Haftung setzt Verschulden voraus: Gegen einen für die Datenverarbeitung Verantwortlichen kann nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden, wenn dieser Verstoß schuldhaft, also vorsätzlich oder fahrlässig begangen wurde. Dies ist dem EuGH zufolge nur dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, egal, ob ihm dabei bewusst war, dass er gegen die DSGVO verstößt.
  • Schuldhafter Verstoß muss nicht von Leitungsperson begangen worden sein: Ist der Verantwortliche eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dass dieses Organ Kenntnis davon hatte, so die Richter aus Luxemburg weiter. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, wenn diese im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Dies gilt auch für Verarbeitungsvorgänge, die ein Auftragsverarbeiter durchgeführt hat, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können. Für die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche ist keine Festellung erforderlich, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.
Das Berliner Kammergericht muss den Fall nun unter Berücksichtigung dieses Urteils entscheiden.

Quelle: Urteil des EuGH vom 5.12.2023 – C‑807/21

 
König Kundendaten 

Handbuch Kundendatenschutz

Der sichere Umgang mit Kundendaten ist heute in fast allen Unternehmen ein kritischer Erfolgsfaktor. Dabei bergen Unsicherheiten bei der datenschutzrechtlichen Beurteilung erhebliche Kosten- und Sanktionsrisiken. Auch erschwert die Komplexität technischer Vorgänge, etwa von Datenverarbeitungen oder im Online-Marketing, das Verständnis der entscheidenden Sachverhalte.

Rechtlich und technisch gut beraten: Wie Sie den Kundendatenschutz effizient und rechtssicher gestalten, zeigt Ihnen der erfahrene Datenschutzprofi Simon Menke mit vielen Beispielen und konkreten praktischen Handlungsempfehlungen.

  • Rechtliche Anforderungen nach DSGVO/BDSG, nach dem TTDSG und weiteren relevanten Regelungen (u.a. auch kartellrechtlich im Kontext von Online-Plattformen) sowie Folgen von Datenschutzverstößen
  • Technische und organisatorische Maßnahmen etwa im Direkt- und Onlinemarketing/-tracking, Umgang mit Datenpannen, Datentransfers in Drittländer, Bonität/Factoring/Inkasso u.v.m.

Dabei werden einige wichtige neue Praxisthemen detailliert behandelt: z.B. PIMS, Browser-Fingerprinting, RTB-Verfahren, der Einsatz von Facebook Custom Audiences sowie das „Privacy Sandbox Projekt“.

Erstklassige Praxiseinblicke: Dr. Simon Menke ist seit über zehn Jahren auf den Bereich des Kundendatenschutzes spezialisiert und als Leiter Konzerndatenschutz in einem international agierenden Handels- und Dienstleistungskonzern tätig. Vor dieser Tätigkeit war er Rechtsanwalt in einer u.a. auf das Datenschutzrecht spezialisierten Kanzlei in Hamburg. Er berät zu fast allen Bereichen des Datenschutzes.

  
Verlagsprogramm   Weitere Nachrichten aus dem Bereich Recht   

EuGH verhandelt Grundsatzfrage zur Ahndung von Datenschutzverstößen durch Unternehmen
 
Kommt es bei Datenschutzverstößen von juristischen Personen darauf an, dass einer konkreten Leitungsperson ein Verstoß nachgewiesen werden kann? Diese Frage liegt dem EuGH momentan zur Entscheidung vor. mehr …

  

(ESV/cw)

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
PinGdigital        Erich Schmidt Verlag