EuGH Urteil: Unternehmen können im Rahmen der DSGVO, ohne Nachweis eines Verschuldens des Managements, mit einer Geldstrafe belegt werden
Der Europäische Gerichtshof (EuGH) hat am 5. Dezember 2023 ein wegweisendes Urteil in der Rechtssache «Deutsche Wohnen SE» (Rechtssache C-807/21) gefällt. Das Gericht entschied, dass Unternehmen gemäss Artikel 83 der Datenschutz-Grundverordnung (DSGVO) auch dann mit einer Geldstrafe belegt werden können, wenn es keinen Beweis dafür gibt, dass das Leitungsorgan des Unternehmens vorsätzlich oder fahrlässig gehandelt hat. Dieser Entscheid hat erhebliche Auswirkungen für Unternehmen, die der DSGVO unterliegen, und wirft wichtige Fragen zur Einhaltung der Vorschriften und zu möglichen Geldbussen auf.
Niedrigere Hürde für Bussgelder
Bisher mussten die Aufsichtsbehörden nachweisen, dass eine bestimmte Person innerhalb des Unternehmens, häufig ein Mitglied des Leitungsorgans, vorsätzlich oder fahrlässig gehandelt hat, damit das Unternehmen mit einer Geldstrafe belegt werden konnte. Dies erschwerte den Behörden die Verhängung von Bussgeldern, insbesondere in Fällen, in denen der Verstoss von niedrigeren Ebenen innerhalb der Organisation ausging.
Mit dem neuen Urteil wurde die Hürde für die Verhängung von Bussgeldern deutlich gesenkt. Die Aufsichtsbehörden müssen jetzt nur noch nachweisen, dass der Verstoss stattgefunden hat, und es ist nicht mehr notwendig, eine bestimmte verantwortliche Person zu identifizieren. Dadurch wird es für die Behörden einfacher, die DSGVO durchzusetzen und Unternehmen für Datenschutzverstösse zur Verantwortung zu ziehen.
Verschärfte Haftung für Unternehmen
Das Urteil des EuGH stellt auch klar, dass Unternehmen nun für die Handlungen aller Personen haften, die in ihrem Namen handeln, nicht nur für Mitarbeiter und Management. Das bedeutet, dass Unternehmen für Datenschutzverstösse die von Drittanbietern, Auftragnehmern und anderen Personen begangen werden, die im Namen des Unternehmens Zugang zu personenbezogenen Daten haben, mit einer Geldstrafe belegt werden können.
Diese erweiterte Haftung schafft einen grösseren Anreiz für Unternehmen, ihre Drittanbieter sorgfältiger auszuwählen und zu überwachen und sicherzustellen, dass diese über robuste Datenschutzmassnahmen verfügen.
Fokus auf Compliance
Das Urteil des EuGH unterstreicht wie wichtig es ist, wirksame Compliance-Massnahmen zu ergreifen, um Datenschutzverstösse zu verhindern. Unternehmen können sich nicht mehr darauf verlassen, dass sie ein Programm zur Einhaltung der DSGVO nur auf dem Papier haben; sie müssen sicherstellen, dass das Programm im gesamten Unternehmen effektiv um- und durchgesetzt wird. Dazu gehören die Durchführung regelmässiger Datenschutz-Audits, die Schulung von Mitarbeitern und Auftragnehmern sowie klare Verfahren für den Umgang mit Datenschutzverletzungen.
Potenziell höhere Geldstrafen
Da es für die Aufsichtsbehörden nun einfacher wird Bussgelder zu verhängen, ist mit einem Anstieg der durchschnittlichen Bussgeldhöhe zu rechnen. Das liegt daran, dass die Behörden bei der Durchsetzung der Vorschriften wahrscheinlich strenger vorgehen werden und mehr Ermessensspielraum bei der Festlegung der angemessenen Höhe der Bussgelder haben werden.
Unternehmen sollten sich darauf einstellen, dass sie bei Verstössen gegen den Datenschutz mit deutlich höheren Bussgeldern rechnen müssen. Dies sollte ein weiterer Anreiz für sie sein, die Einhaltung des Datenschutzes ernst zu nehmen.
Das Urteil des EuGH wirft mehrere wichtige Fragen auf, die von Unternehmen und Datenschutzbehörden beantwortet werden müssen. Dazu gehören:
• Wie können Unternehmen effektiv Compliance-Massnahmen umsetzen um Datenschutzverstösse zu verhindern?
• Welche Rolle spielen Drittanbieter bei der Einhaltung des Datenschutzes?
• Wie werden die Datenschutzbehörden im Lichte des EuGH-Urteils an die Durchsetzung herangehen?
• Welche Auswirkungen hat das Urteil auf die Zukunft der Datenschutz-Grundverordnung?
Unternehmen sollten die Entwicklung der Leitlinien von Datenschutzbehörden und Rechtsexperten genau verfolgen, um sicherzustellen, dass sie die Datenschutzgrundverordnung einhalten und die Risiken von Geldbussen minimieren.
Quelle: