Trouble um die Löschung personenbezogener Daten
Lassen Sie sich als vertretungsberechtigtes Organ im Kontext der DSGVO nicht in die Irre führen. Zwar ist es richtig, dass der Europäische Gerichtshof (EuGH) am 5. Dezember 2023 in seinem Urteil zur DSGVO ausgeführt hat, dass nach Art. 83 DSGVO eine Geldbuße nur dann verhängt werden dürfe, wenn nachgewiesen sei, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen sei, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen habe. Diese Ausführung könnte zu der Annahme verleiten, dass die Verhängung einer Geldbuße gegen das Unternehmen ein persönliches Fehlverhalten des Organs voraussetze. Dem ist aber nicht so.
In dem vom EuGH entschiedenen Fall hatte das deutsche Unternehmen personenbezogene Daten nach Ablauf der einschlägigen Aufbewahrungsfrist nicht ordnungsgemäß gelöscht. Im laufenden Verfahren in Deutschland wurde seitens der Aufsichtsbehörden sodann ein Bußgeld von 14.385.000 Euro gegen das Unternehmen verhängt. Im Rahmen der Auseinandersetzung in Deutschland kam – nach dem Urteilstext des EuGH – folgende Verständnisfrage auf, die dem EuGH – sodann in modifizierter Form – vorgelegt wurde:
„Die Verhängung einer Geldbuße gegen eine juristische Person ist in Deutschland in § 30 OWiG abschließend geregelt. Nach § 30 OWiG könne eine Ordnungswidrigkeit aber nur von einer natürlichen Person und nicht von einer juristischen Person begangen werden. Der juristischen Person könnte nur ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Zwar könne nach § 30 Abs. 4 OWiG gegen juristische Personen unter bestimmten Voraussetzungen ein selbstständiges Bußgeldverfahren durchgeführt werden. Aber auch dann sei es erforderlich, “eine Ordnungswidrigkeit des Organmitglieds oder des Repräsentanten der betreffenden juristischen Person festzustellen".
Zu diesem Themenkomplex führt der EuGH sodann wie folgt aus:
- Verantwortung und Haftung im Sinne der DSGVO erstrecke sich auf jedwede Verarbeitung personenbezogener Daten, die durch den Verantwortlichen oder in seinem Namen erfolge.
- Verantwortliche im Sinne der DSGVO müssen nicht nur geeignete und wirksame Maßnahmen treffen, sondern auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergreifen, wirksam seien.
- Alle Handlungen von berechtigt für ein Unternehmen handelnde Personen seien dem Unternehmen bußgeldrechtlich zuzurechnen.
- Im Falle von juristischen Personen bedeutet dies, dass diese nicht nur für Verstöße haften, die von ihren Organen begangen wurden, sondern auch für Verstöße jeder anderen Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt.
- Die DSGVO sehe keine Bestimmung vor, die die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängig macht, dass zuvor festgestellt worden sei, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde.
- Ein Verantwortlicher kann für ein Verhalten, das in den Anwendungsbereich der DSGVO falle, selbst dann sanktioniert werden, wenn seitens des Leitungsorgans der juristischen Person keine Handlung und nicht einmal eine Kenntnis vorläge.
Praxistipp
Praxisrelevanz entfaltet das Urteil dadurch, dass eine DSGVO-konforme Organisation zwingend erforderlich ist, um Schaden vom Unternehmen abzuwenden. Die hiermit einhergehende Compliance und Organisation ist permanent zu gewährleisten, zu überwachen und notfalls anzupassen. Sie ist eine die Geschäftsleitung und den sie überwachenden Aufsichtsrat obliegende Verantwortung, die nicht delegiert werden kann. (hp)
Die Autoren:
Nicole Elert,Rechtsanwältin und Fachanwältin für Arbeitsrecht, Partnerin der PricewaterhouseCoopers GmbH WPG
Arnulf Starck, Rechtsanwalt und Steuerberater, Partner der PricewaterhouseCoopers GmbH WPG