#017 DSGVO-Sanktionen und gemeinsame Verantwortlichkeit
Wichtige Entscheidungen des EuGH zu DSGVO-Sanktionen und gemeinsamer Verantwortlichkeit
Der Europäische Gerichtshof (EuGH) hat am 5. Dezember 2023 in zwei bedeutsamen Fällen, den Rechtssachen C-683/21 (“Nacionalinis visuomenės sveikatos centras“) aus Litauen und C-807/21 (“Deutsche Wohnen“) aus Deutschland, wegweisende Urteile gefällt. Diese Entscheidungen haben bedeutende Auswirkungen auf die Auslegung und Anwendung der Datenschutz-Grundverordnung (DSGVO), insbesondere in Bezug auf die Verhängung von Geldbußen und die Frage der gemeinsamen Verantwortlichkeit.
Kernpunkte der EuGH-Entscheidungen:
- Schuldhaftes Verhalten als Voraussetzung für Geldbußen: Der EuGH stellt klar, dass Geldbußen wegen Verstößen gegen die DSGVO nur verhängt werden können, wenn der Verantwortliche vorsätzlich oder fahrlässig gehandelt hat. Fahrlässigkeit liegt bereits vor, wenn der Verantwortliche hätte erkennen müssen, dass sein Verhalten rechtswidrig ist.
- Haftung juristischer Personen unabhängig vom Leitungsorgan: Bei juristischen Personen ist es nicht erforderlich, dass das Leitungsorgan direkt am Verstoß beteiligt war oder davon Kenntnis hatte. Die Haftung einer juristischen Person als Verantwortlicher ist nicht davon abhängig, dass der Verstoß einer bestimmten natürlichen Person zugeordnet werden kann.
- Geldbußen auch bei Verarbeitung durch Auftragsverarbeiter: Ein Verantwortlicher kann auch für Datenverarbeitungen belangt werden, die durch einen Auftragsverarbeiter durchgeführt wurden, sofern diese Verarbeitungen dem Verantwortlichen zurechenbar sind.
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO: Ein weiterer wichtiger Aspekt dieser Urteile ist die Bestätigung, dass eine gemeinsame Verantwortlichkeit bereits dann entsteht, wenn an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung mitgewirkt wird.
Diese Urteile unterstreichen die Bedeutung eines proaktiven und sorgfältigen Umgangs mit Datenschutzfragen innerhalb von Organisationen und die Notwendigkeit einer klaren Verantwortlichkeit in der Datenverarbeitung.