EuGH erklärt DSGVO-Verwaltungsstrafen gegen Unternehmen für zulässig

Wann darf gegen ein Unternehmen eine Verwaltungsstrafe verhängt werden? Nach österreichischem Verwaltungsstrafrecht war die Antwort darauf lange einfach – nur dann, wenn auch natürliche Personen einen Verstoß gesetzt haben. Die europäische Datenschutz-Grundverordnung ("DSGVO") sieht demgegenüber vor, dass die jeweils zuständigen nationalen Behörden gegen juristische Personen unmittelbar Geldstrafen verhängen können.

In der Entscheidung vom 5.12.2023 (C-807/21 -“Deutsche Wohnen”) stellt der Europäische Gerichtshof (“EuGH”) in diesem Zusammenhang nun klar, dass nationale Vorschriften, die für die verwaltungsstrafrechtliche Verantwortlichkeit einer juristischen Person das Fehlverhalten einer zuvor identifizierten natürlichen Person voraussetzen, nicht mit dem Haftungsregime der DSGVO vereinbar sind.

Im Ausgangsfall drohte einer deutschen Immobiliengesellschaft wegen des datenschutzwidrigen Speicherns von personenbezogenen Daten der Mieterin eine Strafe in Millionenhöhe. Das Verfahren wurde jedoch vom Landesgericht Berlin im Jahr 2021 mit der Begründung eingestellt, dass der Bußgeldbescheid mangels Nachweises eines konkreten Verhaltens der Unternehmensverantwortlichen fehlerhaft war. Gleich wie die Rechtslage in Österreich setzt auch das deutsche Verwaltungsstrafgesetz für die Verbandsverantwortlichkeit ein tatbestandsmäßiges, rechtswidriges und schuldhaftes Verhalten einer vorab namentlich genannten natürlichen Person voraus, die der juristischen Person zuzurechnen ist.

Wie der EuGH jedoch nun klarstellt, hat der Unionsgesetzgeber im Bereich der DSGVO davon abweichende Haftungsvoraussetzungen vorgesehen: Alleinige Voraussetzung für die Haftung nach der DSGVO ist, dass die verantwortliche Person über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet – unabhängig davon, ob es sich dabei um eine natürliche oder eine juristische Person handelt. Dementsprechend dürfen die zuständigen Behörden auch unmittelbar gegen juristische Personen Geldbußen verhängen, sofern diese selbst als für die betreffende Datenverarbeitung “Verantwortliche Personen” zu qualifizieren sind. Das darüber hinausgehende Erfordernis der Zurechnung des Verstoßes einer zuvor identifizierten natürlichen Person berge das Risiko, die Wirksamkeit und abschreckende Wirkung von Geldbußen zu schwächen.

In Österreich widerspricht die aktuell geltende Rechtslage dem noch (vgl etwa § 30 Abs 1 DSG) – ob der Gesetzgeber hier noch nachzieht, ist derzeit noch unklar.

Das Team

Array
(
    [0] => WP_Term Object
        (
            [term_id] => 4
            [name] => Partner
            [slug] => partner
            [term_group] => 0
            [term_taxonomy_id] => 4
            [taxonomy] => category
            [description] => Partner
            [parent] => 0
            [count] => 8
            [filter] => raw
        )

)

Partner / Bank-, Versicherungs- und Wertpapieraufsichtsrecht, Compliance & Interne Untersuchungen, Kapitalmarktrecht, Öffentliches Wirtschaftsrecht & Regulatory, IP & Datenschutz, Legal Tech

Raphael betreut vorwiegend Finanzdienstleister in Verfahren vor Zivil- wie Verwaltungsgerichten sowie bei regulatorischen Fragestellungen, Geldwäscheprävention, Sanktionen sowie Kryptowerte. Daneben vertritt er Mandant:innen aus verschiedenen Branchen in (grenzüberschreitenden) streitigen Verfahren. Weiters unterstützt er Unternehmen in datenschutzrechtlichen Belangen, und ist selbst Datenschutzbeauftragter bei einem Biotechunternehmen sowie einem internationalen Sportverband.

Universität Wien, Rechtswissenschaftliche Fakultät (Mag. iur. 2011; Dr. iur. 2019)
New York University, Leistungsstipendium der Universität Wien (LL.M. 2017)
Zulassung als Rechtsanwalt auch in New York (2017)
Stagiaire bei der International Chamber of Commerce (2018)

Christian Lenz

Array
(
    [0] => WP_Term Object
        (
            [term_id] => 1
            [name] => Associated Partner
            [slug] => associated-partner
            [term_group] => 0
            [term_taxonomy_id] => 1
            [taxonomy] => category
            [description] => 
            [parent] => 0
            [count] => 4
            [filter] => raw
        )

    [1] => WP_Term Object
        (
            [term_id] => 5
            [name] => Attorney at Law
            [slug] => attorney-at-law
            [term_group] => 0
            [term_taxonomy_id] => 5
            [taxonomy] => category
            [description] => 
            [parent] => 0
            [count] => 16
            [filter] => raw
        )

)

Associated Partner / Prozessführung, Bank-, Versicherungs- und Wertpapieraufsichtsrecht, Immobilienrecht

Christian vertritt zahlreiche Kreditinstitute und Versicherungsunternehmen sowie Glücksspielanbieter in Zivilverfahren zu zivilrechtlichen Haftungsfragen. Er berät seine Mandant:innen beim Erstellen von Vertrags- und Werbeunterlagen sowie zu wirksamen Präventionsmaßnahmen.

Universität Wien, Rechtswissenschaftliche Fakultät (Mag. iur. 2002)