DatenschutzWoche vom 11. Dezember 2023

EuGH-Urteile zu Geldbußen und gemeinsamer Verantwortlichkeit nach der DSGVO

Nach Vorabentscheidungsersuchen aus Litauen und Deutschland verkündete der EuGH am 5. Dezember 2023 seine Urteile in den Rechtssachen C-683/21 ("Nacionalinis visuomenės sveikatos centras") und C-807/21 ("Deutsche Wohnen"). Demnach können Geldbußen gegen Unternehmen auch dann verhängt werden, wenn der Verstoß nicht von ihrem Leitungsorgan begangen wurde oder wenn dieses Organ keine Kenntnis von dem Verstoß hatte. Voraussetzung für die Verhängung einer Geldbuße ist lediglich ein schuldhafter Verstoß gegen die DSGVO, wobei ein "Kennenmüssen" ausreicht.

Die wesentlichen Feststellungen des EuGH im Überblick:

1. Gegen einen Verantwortlichen kann nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde. Dies ist schon der Fall, wenn der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte.
2. Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche unterliegt nicht der Voraussetzung, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.
3. Gegen einen Verantwortlichen kann eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.
4. Eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) ergibt sich allein daraus, dass an einer Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt wurde.

EuGH-Urteile zu Datenverarbeitungspraktiken von Wirtschaftsauskunfteien

In seinem Urteil vom 7. Dezember 2023 in der Rechtssache C-634/21 (SCHUFA Holding – Scoring) und in den verbundenen Rechtssachen C-26/22 und C-64/22 (SCHUFA Holding – Restschuldbefreiung) hat sich der EuGH intensiv mit den Datenverarbeitungspraktiken von Wirtschaftsauskunfteien auseinandergesetzt. Der EuGH kommt zu dem Ergebnis, dass Scoring als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern das Scoring im Rahmen der Kreditgewährung eine maßgebliche Rolle spielt.

Der EuGH stellt außerdem fest, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien Informationen über die Erteilung einer Restschuldbefreiung länger speichern als das öffentliche Insolvenzregister. Die Datenschutzaufsichtsbehörde Hamburg betont in einer Pressemitteilung zur Einordnung der Scoring-Entscheidung, dass der EuGH durch das Urteil auch „[…] die Spielregeln für den Einsatz künstlicher Intelligenz konkretisiert“.

Internationale Nachrichten

• Europa: Der Europäische Datenschutzausschuss (EDSA) hat den Streitbeilegungsbeschluss zur Verarbeitung von personenbezogenen Daten zum Zweck personalisierter Werbung durch Meta veröffentlicht. Dazu gibt es auch eine Zusammenfassung.
• Ungarn: Die ungarische Datenschutzaufsichtsbehörde hat zwei Verwarnungen wegen Datenverstößen durch Fluggesellschaften ausgesprochen. In einem Fall ging es um ein Löschersuchen, in dem anderen Fall um eine unzulässige Weitergabe von Gesundheitsdaten.

Aktuelle Gerichtsentscheidungen

• ArbG München, Endurteil vom 09.09.2020, Az. 8 Ca 10000/18 (Volltext): Aus einem Verstoß gegen Art. 7 DSGVO ergibt sich kein Anspruch auf Entfristung des Arbeitsverhältnisses.
• BAG, Urteil vom 24.08.2023, Az. 2 AZR 17/23 (BeckRS 2023, 21745): Die DSGVO regelt die Zulässigkeit von Datenverarbeitungen auch in Verfahren vor den nationalen Zivilgerichten.
• BGH, Beschluss vom 21.09.2023, Az. V ZB 17/22 (Volltext): Kein Anspruch auf Löschung einer Zwangseintragung im Grundbuch; weder aus § 28 GBV noch aus Art. 17 DSGVO oder unmittelbar aus den Grundrechten.
• OLG Köln, Urteil vom 03.11.2023, Az. 6 U 58/23 (GRUR-RS 2023, 34611): Art. 49 Abs. 1 S. 1 lit. a) Die DSGVO setzt voraus, dass der Einwilligende über die möglichen Risiken unterrichtet wurde, wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen.
• VG Bremen, Urteil vom 27.11.2023, Az. 4 K 1160/22 (BeckRS 2023, 34504): Zur Rechtmäßigkeit der in einem Fragenkatalog der Datenschutzaufsichtsbehörde zwecks Sachverhaltsaufklärung gestellten Fragen.
• Sächsisches Oberverwaltungsgericht, Beschluss vom 04.12.2023, Az. 6 B 55/23 (juris): Verwenden Gefahrenabwehrbehörden personenbezogene Daten, die von Verfassungsschutzbehörden mit nachrichtendienstlichen Mitteln ersterhoben wurden, liegt ein geänderter Verwendungszweck vor.
• EuGH, Urteil vom 05.12.2023, Rs. C-683/21 (Volltext): Nur ein schuldhafter Verstoß gegen die DSGVO kann zur Verhängung einer Geldbuße führen.
• EuGH, Urteil vom 05.12.2023, Rs. C‑683/21 (Volltext): Zur gemeinsamen Verantwortlichkeit bei der Entwicklung einer mobilen IT‑Anwendung (hier: Covid-App).
• EuGH, Urteil vom 07.12.2023, Rs. C‑634/21 (Volltext): Zur Frage wann eine "automatisierte Entscheidung" im Einzelfall nach Art. 22 Abs. 1 DSGVO vorliegt.
• EuGH, Urteil vom 07.12.2023, Rs. C‑26/22 und C‑64/22 (Volltext): Zur Dauer der Speicherung und Löschung von personenbezogenen Daten aus öffentlichen Registern durch private Wirtschaftsauskunfteien.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Hessen: „EuGH bringt Klarheit – Geldbußen nach der DSGVO jetzt rechtssicher durchsetzbar“ – Pressemitteilung vom 05.12.2023
• Datenschutzaufsicht Berlin: „EuGH bestätigt die Sanktionspraxis der deutschen Datenschutzbehörden“ – Pressemitteilung vom 05.12.2023
• Datenschutzaufsicht Bremen: „EuGH bestätigt: Unternehmen haften für alle Beschäftigten“ – Pressemitteilung von 06.12.2023
• Datenschutzaufsicht Hessen: „EuGH entscheidet über die Arbeitsweisen von Wirtschaftsauskunfteien“ – Pressemitteilung vom 07.12.2023
• Datenschutzaufsicht Thüringen: „Entscheidung des EuGH: Scoringsystem der SCHUFA scheitert an DS-GVO“ – Pressemitteilung vom 07.12.2023
• Bundesdatenschutzbeauftragter: „Gemeinsames Statement zu Privatsphäre und demokratischen Rechten“ – Pressemitteilung vom 07.12.2023
• Datenschutzaufsicht Rheinland-Pfalz: „Die digitale Transformation der Medizin ist mit Datenschutz vereinbar“ - Positionspapier der Initiative „Mit Sicherheit gut behandelt“ vom 07.12.2023
• Datenschutzaufsicht Niedersachsen: „EuGH schränkt Nutzung des Schufa-Scores ein“ – Pressemitteilung vom 08.12.2023
• Datenschutzaufsicht Hamburg: „Auswirkungen des Schufa-Urteils auf KI-Anwendungen“ – Pressemitteilung vom 11.12.2023
• Datenschutzkonferenz: „3. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 27. September 2023“ – Protokoll