Am 22. Januar 2024 erging eine Entscheidung des Kammergerichts Berlin zu Datenschutzverstößen einer juristischen Person. Sie betrifft das Bußgeld, das der Berliner Datenschutzbeauftragte gegen die Gesellschaft verhängt hatte.
Grundlagen und Normadressaten
Die Höhe der Bußgelder bei Verstößen gegen die DSGVO ist im Art. 83 Abs. 4, 5 und 6 DSGVO geregelt. Daneben können die Aufsichtsbehörden ebenfalls Sanktionen gem. Art. 84 DSGVO verhängen oder andere Maßnahmen nach Art. 58 DSGVO anwenden. Die ausschließlichen Adressaten der Geldbußen sind die Verantwortlichen, Auftragsverarbeiter, Zertifizierungsstellen und Überwachungsstellen i.S.v. Art. 83 Abs. 4 lit. a, b und c DSGVO. Es ist jedoch nach wie vor umstritten, ob juristische Personen für die verhängten Bußgelder verantwortlich sind.
Auswirkungen auf den konkreten Fall
Im vorliegenden Fall wurde der Gesellschaft eine vorsätzliche Verletzung der Datenschutzvorschriften vorgeworfen. Es wurde festgestellt, dass nicht die erforderlichen Schritte unternommen worden waren, um die Daten der Mieter systematisch zu löschen, was zu einer unzulässigen Speicherung personenbezogener Daten führte. Infolgedessen wurde gegen die Gesellschaft eine Geldbuße von 14.386.000 € verhängt. Das aufgrund eines Einspruchs angerufene Landgericht Berlin vertrat die Auffassung, dass eine juristische Person nicht der Gegenstand eines Bußgeldverfahrens sein kann, auch nicht im Verfahren nach Art. 83 DSGVO. Auf die Beschwerde der Staatsanwaltschaft Berlin ging der Fall vor das Kammergericht Berlin, das beschloss, das Verfahren auszusetzen und dem Gerichtshof der Europäischen Union (EuGH) eine Vorabentscheidungsfrage vorzulegen.
Mit seinem Urteil vom 5. Dezember 2023 (C-807/21) hat EuGH festgestellt, dass es zulässig ist, Geldbußen direkt gegen juristische Personen zu verhängen, wenn diese für die Verarbeitung von Daten verantwortlich sind und vorsätzlich oder fahrlässig eine Verletzung gemäß Artikel 83 Absätze 4 bis 6 DSGVO vorgenommen haben. Nach Auffassung des EuGH ist dies darauf zurückzuführen, dass Gesellschaften nicht nur für Verletzungen verantwortlich sind, die von ihren Bevollmächtigten, Geschäftsführern oder Managern begangen werden, sondern auch von jeder anderen Person, die im Rahmen der Geschäftstätigkeit dieser juristischen Personen und in deren Namen handelt. Infolge des Urteils des EuGH hat das Kammergericht Berlin beschlossen, den Fall an das Landgericht Berlin zurückzuverweisen.
Grau Rechtsanwälte PartGmbB berät Unternehmen im Bereich des Datenschutzes, auch als externer Datenschutzbeauftragter.
Bei weiteren Fragen wenden Sie sich bitte an unsere Kanzlei unter +49 (0) 40 180 364 020 oder office@graulaw.eu.