Entscheidungen des EuGH
Über diese Vorlagefragen entschied der EuGH im vergangenen Dezember in zwei Urteilen. Zum einen urteilte er, dass die Bestimmungen der DSGVO – also das Unionsrecht – einer nationalen Regelung entgegenstehen. (Wie etwa dem § 30 des deutschen Gesetzes über Ordnungswidrigkeiten – OWiG.) Die Festsetzung einer Geldbuße nach der DSGVO darf also nicht davon abhängig gemacht werden, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.
Zum anderen entschied der EuGH, dass die Verhängung einer Geldbuße nach der DSGVO nur dann zulässig ist, wenn nachgewiesen ist, dass der Verstoß „von dem Verantwortlichen“ vorsätzlich oder fahrlässig – mithin also schuldhaft – begangen wurde. Die Regelung des Art. 83 DSGVO sei insoweit eindeutig. Die Voraussetzungen für die Verhängung einer Geldbuße durch eine Aufsichtsbehörde ergeben sich ausschließlich durch das Unionsrecht, in diesem Zusammenhang liegen keine Öffnungsklausen für die Mitgliedstaaten vor.
Identifizierung des konkreten Täters
Der EuGH stellt klar, dass die DSGVO keine ausdrückliche Pflicht zur Identifizierung des konkreten Täters vorsieht. Unternehmen können auch dann für Datenschutzverstöße verantwortlich gemacht werden, wenn der/die individuelle Mitarbeitende, der/die den Datenschutzverstoß begangen hat, nicht eindeutig identifiziert werden kann. Unternehmen haften also grundlegend für alle Mitarbeiter/-innen – nicht nur für diejenigen in leitender Position. Entscheidend ist insoweit lediglich die Zweckbestimmung des Handelns des/der Mitarbeitenden, die durch die Unternehmensvorgabe erfolgt und mit den an die Person zugewiesenen Aufgaben im Unternehmen verknüpft sein muss. Art. 82 DSGVO begründet eben gerade eine umfassende Haftung und Schadensersatzpflicht des Verantwortlichen, die sich auf den materiellen und/oder immateriellen Schaden, der durch die nicht datenschutzkonforme Verarbeitung personenbezogener Daten entstanden ist, bezieht. Dies entspricht auch dem Ziel der DSGVO, die Verantwortlichkeit von Unternehmen zu stärken und den Datenschutz zu gewährleisten.