Prof. Dr. Hervé Edelmann, Fachanwalt für Bank- und Kapitalmarktrecht, Thümmel, Schütze & Partner, Stuttgart
In seiner Entscheidung vom 05.12.2023, C-807/21 (BB 2023, 2956 m. Anm. Ashkar/Schröder), hält der EuGH zunächst fest, dass eine Geldbuße wegen eines Verstoßes gemäß Art. 83 Abs. 4–6 DSGVO auch gegen juristische Personen verhängt werden kann, sofern sie die Eigenschaft eines Verantwortlichen haben. Insofern sei es für die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche nicht notwendig, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde (Rn. 46 und 60).
Hieran anschließend stellt der EuGH wiederum klar, dass Art. 83 DSGVO dahingehend auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche einen in Art. 83 Abs. 4–6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig und damit schuldhaft begangen hat (Rn. 68 und 78).
PRAXISTIPP
Mit seiner vorstehenden Entscheidung hat der EuGH zwar festgestellt, dass eine Geldbuße wegen eines in Art. 43 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche verhängt werden kann, ohne dass dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde. Allerdings hat der EuGH auch unmissverständlich klargestellt, dass ein Bußgeld wegen eines DSGVO-Verstoßes einem Unternehmen nicht ohne Weiteres auferlegt werden darf, sondern nur dann, wenn dieser DSGVO Verstoß durch das Unternehmen vorsätzlich oder fahrlässig und damit schuldhaft begangen worden ist.
Beitragsnummer: 22435