EuGH zur Haftungsfrage im Datenschutz
Wer erinnert sich noch an eines der größten Bußgelder in Deutschland?
14,5 Millionen Euro gegen die Deutsche Wohnen SE!
Jetzt gibt es wichtige allgemeingültige Neuigkeiten vom EuGH zum Fall…
Zur Erinnerung – der Fall grob zusammengefasst
Das Bußgeld wurde verhängt, weil umfangreiche Angaben der Mieter – darunter auch Personalausweiskopien, Bonitätsnachweise und Gehaltsbescheinigungen – ohne Aufbewahrungspflicht dauerhaft in einem Dokumentenmanagementsystem (kurz: DMS) gespeichert und archiviert wurden. Eine Löschung, nachdem der Zweck erloschen war, war technisch nicht möglich.
Gegen dieses Bußgeld hat sich die Deutsche Wohnen SE zur Wehr gesetzt. Zuerst mit Erfolg, denn laut dem Landgericht Berlin konnte nicht festgestellt werden, dass der Verstoß durch eine Person der Unternehmensführung vorsätzlich oder fahrlässig gehandelt hatte. Für eine Haftung nach §30 OWiG ist jedoch genau dies notwendig, damit eine Geldbuße gegen eine juristische Person oder Personenvereinigung verhängt werden kann. Auch eine Verletzung der Aufsichtspflicht, die gem. §130 OWiG war nicht feststellbar.
Die Aufsichtsbehörde legte gegen die Entscheidung des Landgerichts eine Beschwerde beim Kammergericht ein. Dabei hielten sowohl die Aufsichtsbehörde als auch das Kammergericht die Einschränkungen aus dem OWiG für nicht vereinbar mit der DSGVO. Deswegen wurde der Sachverhalt dem EuGH zur Entscheidung vorgelegt.
Die Meinung des EuGH
Auch der EuGH kam zu dem Ergebnis, dass die Einschränkungen aus dem OWiG nicht DSGVO-konform ausgelegt werden können. Für ein Bußgeld bedarf es nicht der Feststellung, wer im Unternehmen den Datenschutzverstoß begangen habe, oder ob dies im Wissen einer Leitungsperson passiert ist.
Was bedeutet dies für die Praxis
Im Grunde genommen ist man auch bisher davon ausgegangen, dass der Verantwortliche, egal ob es sich dabei um eine juristische oder natürliche Person handelt, für die Einhaltung des Datenschutzes verantwortlich ist. Damit gab es auch bisher selten Zweifel daran, dass bei einem Datenschutzverstoß mit einem Bußgeld zu rechnen ist. Genau dies wurde mit dem Urteil des EuGH nun nochmal konkret bestätigt.
In einem zweiten Urteil des EuGH wird zudem noch einmal festgestellt, dass die Verantwortlichkeit und damit auch die Haftung, sich auch auf die eingesetzten Auftragsverarbeiter erstreckt. Werden vom Auftragsverarbeiter vorsätzlich oder fahrlässig unrechtmäßige Verarbeitungen von Daten vorgenommen, die der Verantwortliche zur Erfüllung eines Auftrages bereitgestellt hat, kann dem Verantwortlichen ein Bußgeld auferlegt werden.
Handlungsempfehlung
Die Vorabentscheidungen des EuGH zeigen, dass der Datenschutz nicht auf die leichte Schulter genommen werden sollte. Die Pflichten des Datenschutzes sollten von allen Unternehmen beachtet werden. Doch welche konkreten Handlungsempfehlungen können wir Ihnen für diese Entscheidungen mitgeben?
Natürlich sollten die Unternehmen auch ohne diese Vorabentscheidungen die wichtigsten Dokumentationen zum Datenschutz im Auge behalten. Das Verzeichnis der Verarbeitungstätigkeiten gibt einen guten Überblick über die im Unternehmen verarbeiteten Daten und unterstützt bei der Erkennung möglicher Aufbewahrungspflichten.
Schulen bzw. sensibilisieren Sie Ihre Mitarbeiter! Wenn Mitarbeiter sorgsam mit (personenbezogenen) Daten umgehen, können Fehler vermieden werden.
Sorgen Sie durch angemessene technische und organisatorische Maßnahmen dafür, dass die Daten sicher und datenschutzkonform verwahrt werden und nach der dem Wegfall des Zwecks auch wieder gelöscht werden.
Kontrollieren Sie Ihre Dienstleister! Ist der eingesetzte Dienstleister in der Lage die überlassenen Daten angemessen zu schützen? Je sensibler die Informationen sind, umso genauer sollten Sie hinsehen.
Wenn Sie Fragen zu den Handlungsempfehlungen haben, nehmen Sie gerne Kontakt mit uns auf!
Beste Grüße
Ihre Datenschutzbeauftragten der CompliPro GmbH
EuGH – Vorabentscheidungen / Urteile
(EuGH vom 5.12.2023, C-807/21, Rn. 76 f.) / (EuGH vom 5.12.2023, C-683/21, R. 84)
EuGH – Vorabentscheidungen / Urteile
Nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung kann zur Verhängung einer Geldbuße führen
Der Beitrag EuGH zur Haftungsfrage im Datenschutz erschien zuerst auf CompliPro GmbH.