Nach deutschem Ordnungswidrigkeitenrecht durfte ein Bußgeld gegen ein Unternehmen nach verbreiteter Auffassung bisher nur dann verhängt werden, wenn die Ordnungswidrigkeit einer natürlichen Person (zumindest einem leitenden Angestellten des verantwortlichen Unternehmens) zugerechnet werden konnte. Der EuGH hat nun klargestellt, dass diese nationale Regelung im Datenschutzrecht nicht anwendbar ist.
Vielmehr gelten die Bußgeldvorschriften der Datenschutz-Grundverordnung abschließend, nach der es gerade nicht erforderlich ist, dass der Verstoß eines verantwortlichen Unternehmens einer natürlichen Person zugerechnet werden kann. Gleichzeitig hat der EuGH klargestellt, dass für die Verhängung eines Bußgeldes ein Schuldvorwurf (Vorsatz oder Fahrlässigkeit) zwingend erforderlich ist. Dieser dürfte aber bereits bei der Nichtumsetzung von Datenschutzvorgaben im eigenen Unternehmen vorliegen.
Unternehmen ist daher dringend anzuraten, die eigene Datenschutz-Compliance und alle insoweit relevanten Prozesse im Unternehmen auf den Prüfstand zu stellen, um künftig Bußgelder und sonstige Anordnungen der zuständigen Aufsichtsbehörde zu vermeiden.