Beitrag teilen
Link in die Zwischenablage kopieren
Link kopierenDatenschutz: Unternehmen droht Geldbuße auch bei Verstoß durch „unbekannt“
Unternehmen müssen bei Datenschutzverstößen auch dann mit einer Geldbuße rechnen, wenn kein konkreter Verursacher ausgemacht werden kann. Philip Uecker von McDermott Will & Emery zu den Konsequenzen jüngerer Gerichtsentscheidungen
Darum geht es
Nach deutschem Recht reichte bisher die bloße Feststellung eines Datenschutzverstoßes nicht aus, um eine Geldbuße gegen das Unternehmen zu verhängen. Zusätzlich musste vielmehr der Nachweis geführt werden, dass eine Leitungsperson des Unternehmens entweder selbst gegen die Regelungen der Datenschutzgrundverordnung (DSGVO) verstoßen oder ihre Aufsichtspflichten verletzt hat, und zwar mindestens fahrlässig. Zur Folge hatte dies, dass nicht jede Verletzung von datenschutzrechtlichen Bestimmungen dem Unternehmen gleich ein Bußgeld einbrachte.
Ende 2023 entschied dann der Europäische Gerichtshof (EuGH), dass Datenschutzverstöße nicht einer identifizierten natürlichen Person zugerechnet werden müssen – sprich: Selbst wenn unklar bleibt, welche Person im Unternehmen den konkreten Verstoß begangen hat, muss sich das Unternehmen diesen zurechnen lassen.
Das Berliner Kammergericht hat diesen Ball nun noch einmal aufgenommen und die Maßstäbe zuungunsten der Unternehmen verschoben. Die Richter stellen fest, dass die Verhängung einer Geldbuße gegen ein Unternehmen nicht davon abhängt, dass die Person, die gegen die Datenschutzbestimmungen verstoßen hat, identifiziert werden konnte. Vielmehr soll das Unternehmen diesbezüglich für alle Personen haften, die in seinen „abstrakten Verantwortungskreis“ fallen. Auch eine ordentliche, das heißt datenschutzkonforme, Organisation soll in der Regel nicht zur Entschuldigung genügen.
Praktisch bedeutet das: Unternehmen müssen selbst in den Fällen, in denen weder das Verschulden einer bestimmten Person noch eine Aufsichtspflichtverletzung nachgewiesen werden können, mit einer Geldbuße rechnen. Es reicht bereits aus, wenn dem Unternehmen hätte klar sein müssen, dass die in Frage stehende Datenverarbeitung rechtwidrig war. Dass die Unternehmensleitung oder ihre Vertreter konkret davon wussten, wird nicht vorausgesetzt.
Als „datenschutzrechtliche Verantwortliche“ haften Unternehmen sowohl für Datenschutzverstöße, die von Geschäftsführern und Mitarbeitern begangen werden, als auch für Verstöße durch sonstige Personen, die in ihrem Namen tätig werden, also zum Beispiel auch Auftragsdatenverarbeiter.
Das sollten Unternehmen wissen
Die Entscheidung des Berliner Kammergerichts erhöht nochmals die Risiken für Unternehmen, für Datenschutzverletzungen, die im Rahmen der Geschäftstätigkeit passieren, belangt zu werden. Von einem solchen Vorwurf entlasten und eine Geldbuße abwenden können sie nur noch dann, wenn sie entweder einen sogenannten Mitarbeiterexzess belegen, beispielsweise bewusste Verstöße von Beschäftigten gegen interne Richtlinien, Betriebsvereinbarungen oder Dienstanweisungen. Oder wenn sie nachweisen können, dass sie den Verstoß gegen das Datenschutzrecht gar nicht erkennen konnten.
Unternehmensinterne Datenschutzrichtlinien und -weisungen werden damit nochmals wichtiger; sie sollten regelmäßig überprüft werden und einher gehen mit der Dokumentation einer funktionierenden Datenschutz-Organisation einschließlich der nötigen Datenschutz-Schulungen aller Mitarbeiter. Auch wenn es über eine solche Dokumentation im Ernstfall nicht gelingen sollte, einen Mitarbeiterexzess nachzuweisen und eine Geldbuße komplett abzuwenden, so kann sie sie zumindest in der Höhe verringern.
Berliner Kammergericht, Beschluss vom 22.01.2024, Az. 3 Ws 250/21, 161 AR 84/21, 3 Ws 250/21 - 161 AR 84/21
