Datenschutz-Bußgelder nach „Deutsche Wohnen“

Was müssen Unternehmen jetzt beachten?

Martin Schmitt

Rechtsanwalt

Übersicht

Das vielbeachtete EuGH-Urteil „Deutsche Wohnen“ hat die Voraussetzungen für die Verhängung von Bußgeldern gegen Unternehmen bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) konkretisiert. Der EuGH stellte zum einen klar, dass eine Zurechnung auf die Unternehmensleitung nicht erforderlich ist. Zum anderen erteilte er aber der von Datenschutzbehörden geforderten „Verschuldensunabhängigen Haftung“ eine Absage - ein Verschuldensnachweis bleibt weiterhin notwendig. Welche praktischen Konsequenzen ergeben sich daraus nun für Unternehmen? Der folgende Beitrag fasst die zentralen Erkenntnisse zusammen und gibt konkrete Handlungsempfehlungen.

Inhaltsverzeichnis

Die Vorgaben des EuGH im Überblick

Der EuGH machte in seinem Urteil im Wesentlichen zwei Vorgaben:

Kein Zurechnungserfordernis an die Unternehmensleitung: Bußgelder können direkt gegen das Unternehmen verhängt werden, ohne dass der Verstoß zuvor einer identifizierten natürlichen Person (z.B. Vorstand oder Geschäftsführung) zugerechnet werden muss.

Aber: Nachweis eines Verschuldens weiter notwendig. Eine „verschuldensunabhängige Haftung“, wie sie Datenschutzbehörden teilweise gefordert hatten, lehnte der EuGH ab. Es muss weiterhin nachgewiesen werden, dass der Verantwortliche den Verstoß vorsätzlich oder fahrlässig begangen hat.

Wie diese EuGH-Vorgaben in die deutsche Rechtslage passen

Auf den ersten Blick scheinen die Vorgaben nicht ganz mit der deutschen Systematik vereinbar, das das deutsche OWiG eine Zurechnung an natürliche Personen der Unternehmensleitung vorsieht.

Bei näherer Betrachtung zeigen sich jedoch mehrere Wege, die EuGH-Vorgaben mit dem deutschen Recht in Einklang zu bringen:

Über eine europarechtskonforme, flexible Auslegung der §§ 30, 130 OWiG. Danach wäre die Verhängung einer „anonymen“ Geldbuße gegen das Unternehmen auch ohne Identifizierung einer natürlichen Person möglich.

Wesentliche Bedeutung kommt auch der Beweislastverteilung zu. Der EuGH hat bestätigt, dass Verfahrensfragen wie der Amtsermittlungsgrundsatz national geregelt werden können. Für

Deutschland gilt damit weiterhin: Die Behörden müssen sowohl den Datenschutzverstoß als auch das Verschulden nachweisen – mindestens im Wege des Indizienbeweises.

Was die Entscheidung für die Bußgeldpraxis bedeutet

Aus der Entscheidung ergeben sich einige Schlussfolgerungen für die behördliche Sanktionspraxis:

  • Bußgelder setzen weiterhin das Verschulden des Verantwortlichen voraus. Die Behörden müssen dies durch Ermittlungen belegen.
  • Die Schwelle für ein Verschulden ist allerdings niedrig. Es genügt schon, wenn der Verantwortliche den Verstoß „hätte erkennen müssen“.
  • Unternehmen können sich exkulpieren, wenn sie nachweisen können, dass sie ihrer Rechenschaftspflicht nachgekommen sind und angemessene Vorkehrungen zur Vermeidung von Verstößen getroffen haben.

Datenschutzverstöße können für Unternehmen teuer werden. Daher ist es wichtig, dass jedes Unternehmen, das mit personenbezogenen Daten arbeitet, sich intensiv mit dem Datenschutz auseinandersetzt und im Falle eines Rechtsstreits auf die professionelle Beratung eines spezialisierten Rechtsanwalts setzt.

Vermeidung von Datenschutz-Bußgeldern: Handlungsempfehlungen für Unternehmen

Die Entscheidung des EuGH hat die Anforderungen an Unternehmen, sich präventiv und reaktiv gegen DSGVO-Verstöße zu wappnen, nochmals verschärft. Nur wer hier frühzeitig seine Hausaufgaben macht, kann drohende Bußgelder auch in Zukunft vermeiden.

Für Unternehmen ergeben sich folgende Handlungsempfehlungen:

  • Compliance-Management-System einführen und laufend optimieren, um Verschuldensvorwürfen entgegenzuwirken
  • Datenschutz-Dokumentation aufbauen und fortschreiben, um Rechenschaftspflicht nachzukommen und Entlastungsmaterial parat zu haben
  • Nach Rücksprache mit einer Rechtsanwältin oder einem Rechtsanwalt kann eine volle Kooperation mit der Aufsichtsbehörden hilfreich sein, um im Rahmen des Ermessens Bußgelder von vornherein unwahrscheinlich zu machen

Für ein optimales Datenschutz-Management und zur Vermeidung von Bußgeldern ist es essentiell, dass Unternehmen präventive Maßnahmen ergreifen. Erfahrende Rechtsanwältinnen und Rechtsanwälte können hierbei unterstützen, die Compliance-Maßnahmen zu überprüfen und anzupassen, um das Risiko von Datenschutz-Bußgeldern zu minimieren.

Fazit

Das EuGH-Urteil hat Klarheit bzgl. der Unternehmenshaftung bei Datenschutzverstößen gebracht. Zentral ist, dass weiterhin ein Verschuldensnachweis erforderlich bleibt, die Anforderungen hieran allerdings niedrig sind. Unternehmen sind gut beraten, umfassend Vorsorge zu treffen, um im Fall der Fälle auch entsprechend kooperieren zu können.

Wir empfehlen Unternehmen, die sich gegen Datenschutz-Bußgelder absichern wollen, die Zusammenarbeit mit einer qualifizierten Rechtsanwaltskanzlei. So können Sie sicherstellen, dass Ihre Datenschutzpraktiken den gesetzlichen Anforderungen entsprechen und Ihr Unternehmen vor Sanktionen geschützt ist.“

Kontaktieren Sie uns jetzt für eine individuelle Beratung zu Ihrem Datenschutz-Management und erfahren Sie, wie Sie Ihr Unternehmen effektiv vor Bußgeldern schützen können.

Sie haben noch Fragen?

Wir helfen gerne.

Fragen Sie uns etwas