1. Home
  2. EuGH: Banken haften auch ohne...
DataAgenda

EuGH: Banken haften auch ohne Verurteilung ihrer Organmitglieder

Compliance-Verstöße: Keine Vorfeststellung natürlicher Personen mehr erforderlich

Der Europäische Gerichtshof hat mit Urteil vom 29. Januar 2026 (C-291/24) entschieden, dass die EU-Geldwäscherichtlinie einer nationalen Regelung entgegensteht, die Sanktionen gegen juristische Personen von der förmlichen Feststellung der Schuld natürlicher Personen abhängig macht. Das Urteil stärkt die Durchsetzbarkeit von Compliance-Anforderungen im Finanzsektor.

Ausgangssachverhalt aus Österreich

Die österreichische Finanzmarktaufsicht (FMA) hatte gegen die Steiermärkische Bank und Sparkassen AG eine verwaltungsstrafrechtliche Sanktion wegen Verstößen gegen geldwäscherechtliche Sorgfaltspflichten verhängt. Das österreichische Recht verlangt für die Haftung juristischer Personen nach ständiger Rechtsprechung des Verwaltungsgerichtshofs, dass zunächst einer natürlichen Person förmlich Beschuldigtenstatus zuerkannt wird und im Tenor des Straferkenntnisses namentlich festgestellt wird, dass diese Person rechtswidrig und schuldhaft gehandelt hat.

Kernaussagen zur Haftung juristischer Personen

Der EuGH stellte klar, dass die Geldwäscherichtlinie (EU) 2015/849 die Verantwortlichkeit juristischer Personen eigenständig begründet – unabhängig von einer vorherigen Verurteilung natürlicher Personen. Art. 58 Abs. 1 verpflichtet Mitgliedstaaten sicherzustellen, dass Verpflichtete für Verstöße verantwortlich gemacht werden können. Diese Verantwortlichkeit darf nicht davon abhängen, dass zunächst eine natürliche Person nach nationalem Recht zur Verantwortung gezogen wird.

Die Regelungen in Art. 60 Abs. 5 und 6 der Richtlinie beschränken sich darauf anzugeben, welche natürlichen Personen durch Handlungen oder Unterlassungen die Verantwortlichkeit einer juristischen Person auslösen können – etwa Organmitglieder mit Vertretungsbefugnis oder mangelnde Überwachung durch Führungspersonen. Daraus lässt sich jedoch nicht ableiten, dass diese Personen zuvor selbst verantwortlich sein oder im Sanktionsbescheid namentlich genannt werden müssen.

Effektivitätsgrundsatz und abschreckende Wirkung

Eine nationale Regelung, die Sanktionen gegen juristische Personen von der vorherigen Feststellung der Verantwortlichkeit natürlicher Personen abhängig macht, würde dem Erfordernis nach Art. 58 Abs. 1 zuwiderlaufen, wonach Sanktionen „wirksam, verhältnismäßig und abschreckend“ sein müssen. Eine solche Anforderung könnte die Wirksamkeit und den abschreckenden Charakter der Sanktionen schwächen. Der EuGH verwies auf seine Rechtsprechung im Fall Deutsche Wohnen (C-807/21), wonach die Verantwortlichkeit juristischer Personen unter der DS-GVO ebenfalls nicht von der Identifizierung natürlicher Personen abhängt.

Verjährungsfristen bleiben unbeanstandet

Hinsichtlich der österreichischen Verjährungsregelungen (drei Jahre Verfolgungsverjährung, fünf Jahre Strafbarkeitsverjährung) sah der EuGH keine Konflikte mit den Grundsätzen der Äquivalenz und Effektivität. Solche Fristen sind im Interesse der Rechtssicherheit grundsätzlich mit dem Unionsrecht vereinbar.

Die Entscheidung verdeutlicht, dass nationale Verfahrensvorschriften die unionsrechtlich vorgesehene Haftung juristischer Personen nicht durch übermäßige Anforderungen aushöhlen dürfen.

(Foto: Masha Stock – stock.adobe.com)

Letztes Update:08.02.26

Das könnte Sie auch interessieren

  • Digitale Souveränität und KI im DataAgenda Podcast Folge 93

    Folge 93: Digitale Souveränität in menschlicher Hoheit

    Die Digitale Souveränität Europas ist ein Gebot dieser Zeit. Die menschliche Hoheit in Zeiten zu behalten, in denen KI-Systeme uns das Denken abnehmen können, ist ein anderes. Die Menschen in Europa müssen nun beweisen, dass sie den Herausforderungen gewaschen sind. Die EU und ihre Mitgliedstaaten müssen einen regulatorischen Rahmen schaffen, der Menschenrechte und gute wirtschaftliche

    Mehr erfahren
  • EDSA veröffentlicht DSFA-Muster

    Einheitliches DSFA-Muster zur öffentlichen Konsultation veröffentlicht

    Der Europäische Datenschutzausschuss (EDSA) hat am 10. März 2026 ein standardisiertes Muster für Datenschutz-Folgenabschätzungen (DSFA/DPIA) nach Art. 35 DS-GVO verabschiedet und am 14. April 2026 zur öffentlichen Konsultation gestellt. Rückmeldungen können bis zum 9. Juni 2026 eingereicht werden. Ziel ist eine europaweit einheitliche DSFA-Dokumentation: Nach Abschluss der Konsultation sollen alle nationalen Datenschutzbehörden das Template als

    Mehr erfahren
  • Transporterschlüsselung bei E-Mail ausreichend

    Transportverschlüsselung reicht aus: Anforderungen an E-Mail-Sicherheit nach Art. 32 DS-GVO

    Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf entschieden, dass die Übermittlung personenbezogener Daten per E-Mail mittels Transportverschlüsselung grundsätzlich ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DS-GVO gewährleistet. Eine Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Sachverhalt Dem Verfahren lag ein Verkehrsunfall zugrunde, bei dem ein Busunternehmen den

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner