Die staatlichen Datenschützer gingen stets davon aus, dass bereits der Verstoß gegen die DS-GVO eine unmittelbare Haftung von Unternehmen als juristische Person auslöst – obwohl nationales Recht ein Fehlverhalten von deren Leitungspersonal voraussetzt. Der EuGH musste folglich klären, ob die DS-GVO abschließend eine unmittelbare Haftung von Unternehmen begründen kann, selbst wenn innerstaatliches Recht ein rechtswidriges Verhalten einer identifizierten natürlichen Person voraussetzt. Der Gerichtshof entschied – kurz und bündig – zugunsten einer unmittelbaren Unternehmenshaftung; die nationalen Vorschriften fänden insoweit keine Anwendung (5.12.2023 – C-807/21, BeckRS 2023, 34616).
Was bedeutet diese Entscheidung für die Praxis? Zunächst sind alle bis dato erlassenen und mit Aussicht auf eine andere Positionierung des EuGH angefochtenen Bußgeldbescheide der deutschen Aufsichtsbehörden nunmehr bestätigt. Deswegen, so wird kolportiert, komme es nun zwangsläufig zu einer sprunghaften, geradezu epidemischen Zunahme von Bußgeldbescheiden. Dieses Schreckensszenario ist unbegründet. Denn das Urteil bestätigt lediglich die bisherige Praxis der Aufsichtsbehörden, weist ihnen aber nicht das fehlende zusätzliche Personal zu, das für eine strengere Durchsetzung der DS-GVO erforderlich ist. Auch muss eine Verbandshaftung nicht zwangsläufig von Nachteil sein, vermeidet diese doch die nach den nunmehr nicht mehr anwendbaren deutschen Regelungen zur Ermittlung von Tat und Täter erforderlichen Vor-Ort-Untersuchungen, Zeugenvernehmungen und sonstigen polizeilichen Maßnahmen.
Bezüglich der zweiten, nicht minder spannenden Vorlagefrage entschied der EuGH, dass für eine Haftung nach der DS-GVO allein ein objektiver Pflichtenverstoß nicht ausreichen kann, sondern vielmehr ein vorsätzliches oder fahrlässiges Verhalten vorliegen muss. Die befürchtete verschuldensunabhängige Haftung nach der DS-GVO ist damit „vom Tisch“. Aber auch das ändert nicht wirklich etwas an der bisherigen Praxis der Aufsichtsbehörden, weil eine gänzlich unverschuldete Nichteinhaltung der DS-GVO eher theoretischer Natur sein sollte.
Man könnte folglich zu dem ernüchternden Ergebnis kommen, die als „bahnbrechend“ angekündigte, medial kontrovers begleitete Entscheidung bliebe gänzlich folgenlos. Dem ist nicht so. Denn mit ihr sind die bisherigen Rechtsunsicherheiten hinsichtlich des bestehenden Datenschutz-Bußgeldregimes beseitigt. Das Urteil markiert insoweit einen evolutionären Entwicklungsschritt der noch jungen DS-GVO: sie wird durch solche Entscheidungen erst erwachsen.