Als Fortführung unserer Übersicht zu der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) fassen wir in diesem Blog-Artikel die Bußgeldrechtsprechung im Rahmen der Datenschutz-Grundverordnung (DSGVO) zusammen.
Deutsche Wohnen SE-Entscheidung vom 05.12.2023, C-807/21
Der Hauptstreitpunkt des Verfahrens, ob Unternehmen sofort für Datenschutzverletzungen haftbar gemacht werden sollten, wurde vom EuGH zugunsten einer Verbandshaftung des betreffenden Unternehmens entschieden. Zudem stellt der EuGH fest, dass für Geldbußen gemäß der DSGVO der kartellrechtliche Unternehmensbegriff (Art. 101, 102 AEUV) gilt. Genau genommen bedeutet dies, dass der Datenschutzverstoß nicht unbedingt von Führungskräften oder Geschäftsführern des Unternehmens begangen werden muss, wie es im deutschen Ordnungswidrigkeitsrecht vorgesehen ist (§ 30 OWiG) oder diesem als Organisationsverschulden anzulasten ist (§ 130 OWiG). Für die Bestrafung einer juristischen Person genügt es als Grundlage, dass der Verstoß von einer Person begangen wurde, die für das Unternehmen tätig war und diesem Vorsatz oder Fahrlässigkeit vorzuwerfen ist (C 807/21, Rn. 44). Dies ergibt sich aus den umfangreichen Pflichten des Verantwortlichen nach der DSGVO.
Nach der Entscheidung können Datenschutzbehörden in Deutschland und anderen EU-Staaten in Zukunft wahrscheinlich einfacher Bußgelder gegen Unternehmen verhängen, die Datenschutzverstöße begangen haben. Die Feststellung eines Datenschutzverstoßes im Unternehmen genügt gemäß der Entscheidung des EuGH grundsätzlich für eine Bußgeldverhängung, ohne dass dies einer konkreten Person zugeschrieben werden muss (C 807/21, Rn. 60). Dennoch muss die Datenschutzaufsichtsbehörde dem Unternehmen weiterhin ein Verschulden (Vorsatz oder Fahrlässigkeit) nachweisen (C 807/21, Rn. 78). Es ist noch unklar, welche Anforderungen in Zukunft ausreichend sein werden, um diesen Nachweis zu erbringen. Weitere wichtige Detailfragen sind noch offen.
Scania-Entscheidung vom 09.11.2023, C-319/22
Die Entscheidung des EuGH betrifft zunächst den Umfang von Bereitstellungspflichten bei der Datenüberlassung durch die Automobilindustrie. Im Rahmen dessen setzt sich das Urteil mit dem Begriff des relativen Personenbezugs auseinander, welcher eine wichtige Rolle in der Praxis für Unternehmen spielt. Nach der Entscheidung liegen personenbezogene Daten demnach nur dann vor, sofern derjenige, der Zugang zu den fraglichen Informationen hat, über Mittel verfügen könnte, die es ihm ermöglichen die Informationen einer natürlichen Person zuzuordnen (C-319/22, Rn. 45).
Das Urteil unterstreicht die Notwendigkeit, nicht nur den Inhalt, sondern auch die möglichen Mittel zur Identifizierung von Daten zu berücksichtigen. Bei der Prüfung sind nicht alle theoretisch denkbaren Mittel, sondern nur die bei vernünftiger Betrachtung auch tatsächlich verfügbaren Mittel einzubeziehen (siehe Erwägungsgrund 26 DSGVO). Dies kann zu dem Ergebnis führen, dass Daten für eine Organisation personenbezogene Daten darstellen, für eine andere Organisation jedoch gerade nicht. Die Auswirkungen des Urteils reichen somit weit über der Automobilbranche hinaus und berühren grundlegende Fragen zur Bewertung des Personenbezugs von Daten.
SCHUFA-Entscheidung vom 07.09.2023, C-634/21
Der EuGH verkündete am 07.09.2023 seine lang erwartete Entscheidung im SCHUFA-Verfahren. Die Entscheidung wurde von uns im Blogartikel vom 03.01.2024 ausführlich besprochen. Das Gericht beschäftigte sich in der Entscheidung unter anderem mit der Rechtmäßigkeit des durch die deutsche Wirtschaftsauskunftei betriebenen Scorings im Hinblick auf Art. 22 DSGVO. Im Ergebnis entschied der EuGH, dass das von der SCHUFA betriebene Scoring bereits eine Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO darstelle und zudem wohl regelmäßig unzulässig sei. Die bislang betriebene Speicherung über die Erteilung einer Restschuldbefreiung in seiner aktuellen Länge von 3 Jahren stünde im Widerspruch zur DSGVO.
Die Entscheidung in der Rechtssache C-634/21 schiebt der bisherigen Scoring-Praxis der SCHUFA unter Heranziehung des Art. 22 DSGVO vorläufig einen Riegel vor (C-634/21, Rn. 50). Danach ist Art. 22 Abs. 1 DSGVO dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliege, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt werde, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet (C-634/21, Rn. 73).
Fraglich ist zudem, ob sich die in den Rechtssachen C-23/22 und C-64/22 getroffene Entscheidung tatsächlich nur auf Daten aus dem öffentlichen Insolvenzregister beschränkt. Private Wirtschaftsauskunfteien werden wohl prüfen müssen, ob andere durch sie gespeicherte Negativdaten wie verspätet gezahlte Rechnungen tatsächlich so lange aufbewahrt werden dürfen, wie dies bislang Praxis ist.
Konsequenzen
Datenschutzbehörden können bereits Bußgelder gegen Unternehmen verhängen, wenn ein Datenschutzverstoß festgestellt wurde und dem Unternehmen ein Verschulden nachzuweisen ist, unabhängig davon, dass der Datenschutzverstoß einer konkreten Person zugeschrieben werden muss. Die Datenschutzbehörde trägt für den Datenschutzverstoß und für das Verschulden die Beweispflicht.
Personenbezogene Daten liegen nach dem EuGH nur dann vor, sofern derjenige, der Zugang zu den fraglichen Informationen hat, über Mittel verfügen könnte, die es ihm ermöglichen die Informationen einer natürlichen Person zuzuordnen.
Das von der SCHUFA betriebene Scoring stelle bereits eine Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO dar und sei zudem wohl so wie bisher unzulässig.
"DSGVO Entscheidungen Übersicht: Bußgelder"