Verbandshaftung nach der DSGVO: EuGH-Urteil stärkt Bußgelder gegen Unternehmen
Das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Dezember 2023 (Az. C‑807/21) hat die Anwendung der Verbandshaftung bei Datenschutzverstößen nach der Datenschutz-Grundverordnung (DSGVO) grundlegend verändert. Es klärt, dass Unternehmen direkt für Verstöße haften, auch ohne dass die verantwortliche Person konkret identifiziert werden muss. Dies markiert eine Abkehr vom traditionellen Rechtsträgerprinzip, das nach deutschem Recht bisher zur Anwendung kam. Stattdessen gilt nun das sogenannte Funktionsträgerprinzip, das eine direktere Haftung von Unternehmen ermöglicht.
Hintergrund: Bußgelder nach DSGVO und der Fall Deutsche Wohnen SE
Auslöser für die Entscheidung war der Fall der Deutsche Wohnen SE, bei dem die Berliner Datenschutzbehörde 2019 ein Bußgeld von über 14 Millionen Euro verhängte. Das Unternehmen hatte personenbezogene Daten von Mietern nicht ordnungsgemäß gelöscht, was einen Verstoß gegen die DSGVO darstellte. Das Landgericht Berlin hob das Bußgeld auf, da keine verantwortliche natürliche Person für den Verstoß identifiziert werden konnte – eine Voraussetzung nach dem deutschen Ordnungswidrigkeitengesetz (§ 30 OWiG), das auf dem Rechtsträgerprinzip basiert.
Der EuGH stellte in seinem Urteil jedoch klar, dass eine solche Identifizierung nach der DSGVO nicht notwendig ist. Die Verhängung von Bußgeldern nach DSGVO setzt lediglich voraus, dass der Verstoß im Unternehmen stattgefunden hat. Dies führt dazu, dass die Anwendung der Verbandshaftung erheblich erleichtert wird, da Unternehmen nun auch ohne individuelle Täterermittlung zur Verantwortung gezogen werden können.
Unterschiede zwischen dem Rechtsträgerprinzip und der Verbandshaftung nach DSGVO
Ein wesentlicher Unterschied zwischen dem deutschen Rechtsträgerprinzip und der Verbandshaftung nach DSGVO besteht darin, dass nach deutschem Recht eine Leitungsperson für einen Verstoß verantwortlich sein muss, bevor ein Unternehmen zur Rechenschaft gezogen werden kann. Diese Anforderung erschwerte in der Praxis die Durchsetzung von Bußgeldern, da es in vielen Fällen schwierig war, den tatsächlichen Täter innerhalb eines Unternehmens zu identifizieren.
Im Gegensatz dazu greift die Verbandshaftung nach der DSGVO, wie vom EuGH bestätigt, auf das Funktionsträgerprinzip zurück. Dies bedeutet, dass Unternehmen für Verstöße ihrer Mitarbeiter haften, ohne dass die genaue Person, die den Verstoß begangen hat, ermittelt werden muss. Damit wird der Fokus auf die Organisation des Unternehmens als Ganzes gelegt, und nicht auf einzelne Personen. Diese neue Haftungsform fördert die effektivere Durchsetzung von Bußgeldern nach DSGVO.
Auswirkungen des EuGH-Urteils auf Bußgelder nach DSGVO
Mit der Stärkung der Verbandshaftung nach DSGVO wird es für Datenschutzbehörden einfacher, Verstöße zu sanktionieren. Unternehmen müssen sicherstellen, dass ihre internen Datenschutzprozesse streng eingehalten werden, da sie unabhängig von der Identifikation einer verantwortlichen Person haften. Die direkten Bußgelder nach DSGVO treffen die Organisation als Ganzes, was insbesondere für große Unternehmen mit komplexen Strukturen eine höhere Sorgfaltspflicht bedeutet.
Für die Praxis bedeutet das, dass sich Unternehmen auf höhere Compliance-Anforderungen einstellen müssen, da Bußgelder nach DSGVO schneller und umfassender verhängt werden können. Unternehmen haften nun für Datenschutzverstöße, ohne dass eine Leitungsperson explizit in den Fokus der Ermittlungen gerückt werden muss.
Rechtsträgerprinzip oder Verbandshaftung – Neue Herausforderungen für Unternehmen
Die Entscheidung des EuGH verdeutlicht die Bedeutung der Verbandshaftung im europäischen Datenschutzrecht und zeigt auf, dass das Rechtsträgerprinzip, wie es im deutschen Ordnungswidrigkeitenrecht verankert ist, nicht mit der DSGVO kompatibel ist. Unternehmen müssen ihre Datenschutzstrukturen so gestalten, dass Verstöße vermieden werden, da die Haftung nun umfassender ist und bereits ein objektiver Pflichtenverstoß ausreicht.
Das EuGH-Urteil bestätigt zudem, dass nationale Regelungen, die das Erfordernis eines Leitungspersonenverschuldens voraussetzen, nicht mit dem europäischen Datenschutzrecht vereinbar sind. Für Unternehmen in Deutschland bedeutet das, dass sie ihre Datenschutzorganisation auf die Anforderungen der Verbandshaftung nach DSGVO ausrichten müssen, um Bußgelder nach DSGVO zu vermeiden.
Verbandshaftung nach DSGVO erleichtert die Sanktionierung von Datenschutzverstößen
Das EuGH-Urteil vom 5. Dezember 2023 markiert einen Wendepunkt für die Sanktionierung von Datenschutzverstößen in Europa. Die Einführung der Verbandshaftung nach dem Funktionsträgerprinzip erleichtert es, Bußgelder nach DSGVO gegen Unternehmen zu verhängen, ohne dass die Täterermittlung notwendig ist. Dies stärkt den Datenschutz und stellt sicher, dass Unternehmen ihre Pflichten zur Einhaltung der DSGVO ernster nehmen. Die Abkehr vom Rechtsträgerprinzip schafft eine einheitlichere Rechtsdurchsetzung in der EU und bringt neue Herausforderungen für die Unternehmenspraxis mit sich.