Die Antwort zu der Frage in der Überschrift lautet wohl eindeutig: Jaein.
Das Urteil des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache C-807/21 stellt aber eine entscheidende Wendung in der Frage dar, wie Unternehmen für Datenschutzverstöße haftbar gemacht werden können.
Die Deutsche Wohnen SE - ein Unternehmen mit erheblichem Datenbestand - wurde mit einem Bußgeld von 14,5 Millionen Euro konfrontiert. Ihr Rechtsstreit bei dem das Kammergericht sich an den EuGH wandte, führte nun zu einer grundsätzlichen Klarstellung des EuGH.
Die Relevanz des Urteils für Unternehmen liegt u.a. darin begründet, dass es - anders als teilweise vertreten - nicht zwingend erforderlich ist, ein individuelles Fehlverhalten eines konkreten Mitarbeiters nachzuweisen, um Bußgelder zu verhängen. Stattdessen liegt der Fokus auf dem Unternehmensverschulden im Allgemeinen, wenn man es so ausdrücken möchte. Dies hat Auswirkungen für das Datenschutzmanagement auf Unternehmensebene.
Der EuGH führt wörtlich aus:
„Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (...).
Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist zudem klarzustellen, dass die Anwendung von Art. 83 DSGVO keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (...).“
Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes können also gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche auch dann verhängt werden kann, wenn dieser Verstoß nicht zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Zu betonen ist aber, dass das EuGH-Urteil nicht bedeutet, dass Unternehmen gänzlich, etwa ohne Verschulden für Datenschutzverstöße, auch ihrer Mitarbeiter haften. Vielmehr verlangt es, dass Unternehmen angemessene Vorkehrungen treffen, um solche Verstöße zu verhindern. Die Betonung liegt auf einem proaktiven Datenschutzmanagement, dass in der Praxis effektiv umgesetzt wird. Bußgelder sind nicht ausschließlich von individuellem Fehlverhalten abhängig, sondern können auch auf mangelndes Unternehmensmanagement zurückgeführt werden.
Ein zentraler Aspekt des EuGH-Urteils betrifft also die Frage des Verschuldens wie folgt: Unternehmen müssen nachweisen, dass sie – überspitzt formuliert – alles in ihrer Macht Stehende getan haben, um Datenschutzverstöße zu verhindern. Dies erfordert nicht nur klare Richtlinien und Schulungen, sondern auch eine aktive Überwachung und Anpassung der Datenschutzpraktiken sowie weitere Maßnahmen.
Ebenfalls ist zu beachten, dass der EuGH darauf besteht, dass nationale Regelungen die Voraussetzungen für Datenschutz-Bußgelder nicht beeinflussen können. Dies schafft eine einheitliche Grundlage für Datenschutzstandards innerhalb der EU.
Das EuGH-Urteil spiegelt auch die Prinzipien der Compliance wider. Es zeigt, dass der Datenschutz zunehmend als ernstzunehmender Aspekt der Unternehmensführung betrachtet wird. Unternehmen sollten nicht nur auf rechtliche Konformität abzielen, sondern auch auf einen rechtlich konformen Datenschutzansatz setzen, um potenzielle Bußgelder zu vermeiden.
Für die Deutsche Wohnen SE bedeutet das Urteil, dass der Umgang mit Datenschutzverstößen durch die Berliner Richter und ihrer Anwendung der EuGH-Maßstäbe im weiteren Verlauf bestimmt ist.
Zusammenfassend verdeutlicht das EuGH-Urteil, dass Datenschutz nicht nur eine rechtliche Pflicht ist, sondern auch eine unternehmerische Verantwortung. Unternehmen sollten ihre Datenschutzpraktiken überdenken und sicherstellen, dass sie den DSGVO-Standards entsprechen, um rechtliche Konsequenzen zu vermeiden.
Der EuGH stellt jedoch auch klar, dass nach der DSGVO
"eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat."
"Verschärfung der Haftung von Unternehmen bei Datenschutzverstößen?"