Der Beitrag betrifft nicht die zivilrechtliche Schadensersatzhaftung nach Art. 82 DSGVO, sondern die Verhängung von Bußgeldern nach Art. 83 DSGVO gegen Unternehmen. Für die heutige Einordnung ist deshalb vor allem das Datenschutzrecht für Unternehmen maßgeblich. Der Fall zeigt, wie eng Bußgeldrisiko, dokumentierte Compliance und belastbare Organisationsstrukturen zusammenhängen.
Worum es hier geht
- Der EuGH verlangt für Bußgelder nach Art. 83 DSGVO ein schuldhaftes Verhalten, also Vorsatz oder Fahrlässigkeit.
- Bei juristischen Personen muss der Verstoß nicht zuvor einer konkret identifizierten natürlichen Person zugerechnet werden.
- Für Unternehmen rückt damit weniger die Suche nach Einzelpersonen als die Qualität des Datenschutzmanagements in den Vordergrund.
- Wer Prozesse, Zuständigkeiten und Kontrollen nicht belastbar dokumentiert, verschlechtert regelmäßig die eigene Verteidigungsposition.
Das Wichtigste in Kürze
Aktualisierung
Stand April 2026: Der EuGH hat mit Urteil vom 05.12.2023 die unionsrechtlichen Maßstäbe für Bußgelder gegen juristische Personen konkretisiert. Im Anschluss hat das Kammergericht Berlin am 22.01.2024 die frühere Einstellung des Verfahrens aufgehoben und die Sache zur neuen Entscheidung an das Landgericht Berlin zurückverwiesen. Der Beitrag bleibt daher als Grundsatz-Einordnung tragfähig, bildet aber nicht den letzten prozessualen Stand des Ausgangsverfahrens vollständig ab.
Können Unternehmen für Datenschutzverstöße haftbar gemacht werden?
Die Antwort zu der Frage in der Überschrift lautet wohl eindeutig: Jaein.
Das Urteil des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache C-807/21 stellt aber eine entscheidende Wendung in der Frage dar, wie Unternehmen für Datenschutzverstöße haftbar gemacht werden können.
Die Deutsche Wohnen SE - ein Unternehmen mit erheblichem Datenbestand - wurde mit einem Bußgeld von 14,5 Millionen Euro konfrontiert. Ihr Rechtsstreit bei dem das Kammergericht sich an den EuGH wandte, führte nun zu einer grundsätzlichen Klarstellung des EuGH.
Die Relevanz des Urteils für Unternehmen liegt u.a. darin begründet, dass es - anders als teilweise vertreten - nicht zwingend erforderlich ist, ein individuelles Fehlverhalten eines konkreten Mitarbeiters nachzuweisen, um Bußgelder zu verhängen. Stattdessen liegt der Fokus auf dem Unternehmensverschulden im Allgemeinen, wenn man es so ausdrücken möchte. Dies hat Auswirkungen für das Datenschutzmanagement auf Unternehmensebene.
Der EuGH führt wörtlich aus:
„Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (...).
Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (...).“
Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes können also gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche auch dann verhängt werden kann, wenn dieser Verstoß nicht zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Zu betonen ist aber, dass das EuGH-Urteil nicht bedeutet, dass Unternehmen gänzlich, etwa ohne Verschulden für Datenschutzverstöße, auch ihrer Mitarbeiter haften. Vielmehr verlangt es, dass Unternehmen angemessene Vorkehrungen treffen, um solche Verstöße zu verhindern. Die Betonung liegt auf einem proaktiven Datenschutzmanagement, dass in der Praxis effektiv umgesetzt wird. Bußgelder sind nicht ausschließlich von individuellem Fehlverhalten abhängig, sondern können auch auf mangelndes Unternehmensmanagement zurückgeführt werden.
Ein zentraler Aspekt des EuGH-Urteils betrifft also die Frage des Verschuldens wie folgt: Unternehmen müssen nachweisen, dass sie – überspitzt formuliert – alles in ihrer Macht Stehende getan haben, um Datenschutzverstöße zu verhindern. Dies erfordert nicht nur klare Richtlinien und Schulungen, sondern auch eine aktive Überwachung und Anpassung der Datenschutzpraktiken sowie weitere Maßnahmen.
Ebenfalls ist zu beachten, dass der EuGH darauf besteht, dass nationale Regelungen die Voraussetzungen für Datenschutz-Bußgelder nicht beeinflussen können. Dies schafft eine einheitliche Grundlage für Datenschutzstandards innerhalb der EU.
Das EuGH-Urteil spiegelt auch die Prinzipien der Compliance wider. Es zeigt, dass der Datenschutz zunehmend als ernstzunehmender Aspekt der Unternehmensführung betrachtet wird. Unternehmen sollten nicht nur auf rechtliche Konformität abzielen, sondern auch auf einen rechtlich konformen Datenschutzansatz setzen, um potenzielle Bußgelder zu vermeiden.
Für die Deutsche Wohnen SE bedeutet das Urteil, dass der Umgang mit Datenschutzverstößen durch die Berliner Richter und ihrer Anwendung der EuGH-Maßstäbe im weiteren Verlauf bestimmt ist.
Zusammenfassend verdeutlicht das EuGH-Urteil, dass Datenschutz nicht nur eine rechtliche Pflicht ist, sondern auch eine unternehmerische Verantwortung. Unternehmen sollten ihre Datenschutzpraktiken überdenken und sicherstellen, dass sie den DSGVO-Standards entsprechen, um rechtliche Konsequenzen zu vermeiden.
Der EuGH stellt jedoch auch klar, dass nach der DSGVO
„eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat."
Einordnung für Unternehmen
Worauf es praktisch ankommt
- Bußgeldverfahren drehen sich nicht nur um den Verstoß selbst, sondern um Dokumentation, Zuständigkeiten, Schulungen und Kontrollsysteme.
- Wer technische und organisatorische Maßnahmen nur abstrakt beschreibt, aber operative Umsetzung nicht belegen kann, schafft Verteidigungsrisiken.
- Besonders sensibel sind Datenbestände mit langer Speicherdauer, unklaren Löschroutinen und schwachen Governance-Schnittstellen.
- Die materiell-rechtliche Einordnung bleibt im Kern datenschutzrechtlich. Eine vertiefende Übersicht zu typischen Unternehmenspflichten finden Sie im Datenschutzrecht.
Was der Beitrag nicht leistet
- Er beantwortet nicht die gesamte Bußgeldsystematik der DSGVO.
- Er ersetzt keine vollständige Prüfung eines konkreten Behörden- oder Gerichtsverfahrens.
- Er behandelt nicht schwerpunktmäßig den Schadensersatz nach Art. 82 DSGVO.
- Er ist keine allgemeine Einstiegsseite zum gesamten Themenfeld IT-Recht & Digitalisierung, sondern eine punktuelle Einordnung einer Grundsatzentscheidung.
Kurze Orientierung
| Frage | Einordnung |
|---|---|
| Reicht ein bloßer DSGVO-Verstoß automatisch für ein Bußgeld? | Nein. Erforderlich bleibt ein vorsätzlich oder fahrlässig begangener Verstoß. |
| Muss die Behörde zuvor eine konkret identifizierte natürliche Person benennen? | Nein. Bei juristischen Personen ist dieser Zwischenschritt nach der EuGH-Linie nicht zwingend. |
| Welche praktische Folge hat das für Unternehmen? | Datenschutzorganisation, Löschkonzepte, Kontrolle und Nachweisführung gewinnen weiter an Bedeutung. |
Quellen und weiterführende Hinweise
Offizielle Quellen
Weiterführend
- DSGVO Entscheidungen Übersicht: Bußgelder
- Privacy Litigation: DSGVO-Klagen, Behördenverfahren, Bußgeld
Wenn Bußgeldrisiko, Löschkonzepte, behördliche Kommunikation oder die interne Aufarbeitung eines Datenschutzverstoßes zusammenlaufen, ist eine frühzeitige juristische Einordnung oft sinnvoller als eine nachträgliche Verteidigung aus lückenhafter Dokumentation.
Zuständige Rechtsanwälte bei ITMR
Die Einordnung dieses Beitrags liegt an der Schnittstelle von Datenschutzrecht, IT-Compliance und streitigen Verfahren mit Behördenbezug. Bei ITMR sind hierfür insbesondere folgende Rechtsanwälte fachlich naheliegend:
- Jean Paul P. Bohne, LL.M., MM – Fachanwalt für IT-Recht, CIPP/E, CIPM, externer Datenschutzbeauftragter und Datenschutzauditor.
- Andreas Buchholz – Fachanwalt für IT-Recht mit Schwerpunkt unter anderem im Datenschutzrecht und Prozessrecht.
Fazit
Die Entscheidung des EuGH verschiebt den Fokus nicht auf eine verschuldensunabhängige Unternehmenshaftung, sondern auf die Frage, ob ein Unternehmen Datenschutzverstöße organisatorisch beherrscht und sein Verhalten rechtlich belastbar erklären kann. Für die Praxis ist das vor allem eine Management- und Dokumentationsfrage. Wer Löschung, Speicherbegrenzung, Zuständigkeiten, Kontrollen und Reaktionswege sauber aufsetzt, stärkt nicht nur die Compliance, sondern auch die Verteidigungslinie im Bußgeldverfahren.
Für die weiterführende datenschutzrechtliche Einordnung und typische Unternehmenspflichten ist die Vertiefung über Datenschutzrecht die sachnächste Anschlussstelle.