In puncto Datenschutz und Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) könnten Unternehmen wichtige Veränderungen bevorstehen, denn der Europäische Gerichtshof (EuGH) hat in verschiedenen Verfahren entscheidende Weichen in den Bereichen Bußgelder und Schadensersatz gestellt. Was dies für Unternehmen bedeutet und worauf sie jetzt bezüglich ihrer Compliance achten sollten, erfahren Sie in diesem Artikel.
Bußgelder
„Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin (C-807/21)“
In diesem Verfahren hat sich der EuGH mit den Fragen zu befassen, ob zum einen Unternehmen Adressaten von Bußgeldern sein können, ohne dass ein DSGVO-Verstoß einer natürlichen Person zugerechnet werden muss, und ob zum anderen Vorsatz oder Fahrlässigkeit vorzuliegen hat oder aber der bloße DSGVO-Verstoß genügt.
Der Generalanwalt geht in seinen Schlussanträgen davon aus, dass Unternehmen die Folgen von DSGVO-Verstößen nicht nur zu tragen haben, wenn diese von Leitungsorganen begangen wurden, sondern auch dann, wenn die Verstöße auf das Verhalten von Mitarbeitern oder Mitarbeiterinnen zurückgehen. Das Verhalten der Mitarbeiter sei auf eine unzureichende Kontrolle durch Leitungsorgane zurückzuführen und dem Unternehmen zurechenbar. Eine verschuldensunabhängige Haftung bestehe jedoch nicht, vielmehr müsse ein vorsätzliches oder fahrlässiges Verhalten festgestellt werden.
Für die Praxis enthalten die Schlussanträge im Kern keine Überraschungen. Die unmittelbare Haftung von Unternehmen für Datenschutzverstöße, ohne dass es auf die handelnden Personen ankommt, ist keine neue Erkenntnis, sondern ergibt sich unmittelbar aus Art. 83 DSGVO selbst. Sollte der EuGH den Schlussanträgen folgen und sich gegen eine verschuldensunabhängige Haftung aussprechen, werden sich künftige Verfahren mit der Verschuldensthematik auseinandersetzen müssen. Jedenfalls im Hinblick auf die Strafzumessung wird dann anhand konkreter Fälle zu klären sein, welche Anforderungen für das Vorliegen von Fahrlässigkeit bzw. Vorsatz zu stellen sind. Um dem Vorwurf fahrlässigen Handelns – insbesondere im Hinblick auf mangelnde Kontrolle und Überwachung der Mitarbeiter – entgegenzuwirken, sollten Unternehmen weiterhin in ihre Datenschutzcompliance investieren. Auch die Implementierung eines Datenschutzkonzeptes sowie interner Datenschutzrichtlinien wird vor dem Hintergrund des Nachweises einer ausreichenden Kontrolle und Überwachung der Mitarbeiter vom „Nice-to-have“ zum „Must-have“.
„Nacionalinis visuomenės sveikatos centras (C-683/21)“
In einem weiteren Verfahren zum Thema Bußgelder hat sich der EuGH damit auseinanderzusetzen, ob gegen einen Verantwortlichen, der nicht vorsätzlich oder fahrlässig gegen die Vorschriften der DSGVO verstoßen hat, eine Geldbuße auf der Grundlage der Gefährdungshaftung verhängt werden kann.
Nach Ansicht des Generalanwalts kann eine Geldbuße nur verhängt werden, wenn der Verstoß vorsätzlich oder fahrlässig begangen wurde. Eine Geldbuße könne gegen Verantwortliche auch dann ausgesprochen werden, wenn die rechtswidrige Verarbeitung von einem Auftragsverarbeiter vorgenommen worden sei. Diese Möglichkeit besteht, solange nachgewiesen werden kann, dass der Auftragsverarbeiter im Auftrag des Verantwortlichen handelt. Verarbeitet der Auftragsverarbeiter die Daten jedoch außerhalb oder entgegen der rechtmäßigen Weisung des Verantwortlichen und verwendet der Auftragsverarbeiter die erhaltenen Daten für eigene Zwecke, ohne dass eine gemeinsame Verantwortlichkeit besteht, kann gegen den Verantwortlichen kein Bußgeld für die rechtswidrige Verarbeitung verhängt werden.
Bei der Auswahl der entsprechenden Dienstleister sollte das Thema Datenschutzcompliance durchaus eine entscheidende Rolle spielen. Die bislang in der Praxis eher stiefmütterlich behandelte Möglichkeit zur Durchführung von Inspektionen beim Auftragsverarbeiter könnte angesichts der angedeuteten Gefährdungshaftung zunehmend an Bedeutung gewinnen. Entsprechend zu achten ist auf eine datenschutzkonforme Ausgestaltung der Prüfrechte in den Auftragsverarbeitungsvereinbarungen.
Schadensersatz
„Österreichische Post AG (C-300/21)“
Ein Betroffener begehrte immateriellen Schadensersatz, nachdem die Österreichische Post AG ihm im Rahmen der Ermittlung der Parteiaffinität der Bevölkerung fälschlicherweise eine Sympathie für eine bestimmte politische Partei unterstellt hatte.
Der EuGH entschied, dass der bloße DSGVO-Verstoß noch keinen Schadensersatzanspruch begründe. Der Schadensersatzanspruch sei an drei Voraussetzungen gebunden: an einen Verstoß gegen die DSGVO, an das Vorliegen eines materiellen oder immateriellen Schadens und an einen Kausalzusammenhang zwischen Schaden und Verstoß. Der EuGH entschied zudem, dass es keine Erheblichkeitsschwelle (Bagatellgrenze) gebe. Bereits ein Unbehagen des Betroffenen könne einen ersatzfähigen Schaden begründen.
Verantwortliche können die Entscheidung mit gemischten Gefühlen betrachten. Einerseits ist es eine Erleichterung, dass nicht jeder Verstoß gegen die DSGVO automatisch zu einem Schadensersatzanspruch des Betroffenen führt. Auch wenn es keine Bagatellgrenze gibt, dürften unter dem Strich weniger Schadensersatzforderungen geltend gemacht werden. Dies ist insbesondere angesichts der Praxis mancher Kläger von Bedeutung, bei der Feststellung (vermeintlicher) DSGVO-Verstöße reflexartig Schadensersatz zu fordern. Das Erfordernis der Darlegung eines kausalen Schadens wird Massenabmahnungen als Geschäftsmodell ausbremsen. Andererseits dürfte die Handhabung durch die nationalen Gerichte mangels konkreter Vorgaben uneinheitlich bleiben. Wie bisher sollten Verantwortliche bei Schadensersatzforderungen zunächst prüfen, ob ein DSGVO-Verstoß vorliegt. Liegt ein solcher tatsächlich vor, sollte nun explizit geprüft werden, ob dieser kausal für den behaupteten Schaden ist.
„Natsionalna agentsia za prihodite (C-340/21)“
Bei einem Cyberangriff auf eine bulgarische Behörde waren Daten von circa 6 Millionen Bürgern im Internet veröffentlicht worden.
Nach Ansicht des Generalanwalts beweist das Vorliegen einer Datenschutzverletzung allein nicht, dass die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen unzureichend waren. Der Verantwortliche müsse jedoch beweisen, dass geeignete Maßnahmen ergriffen wurden. Eine Zertifizierung verlagere die Beweislast auf die Betroffenen. Der Entlastungsbeweis sei für den Verantwortlichen u.a. durch Nachweis der Einhaltung genehmigter Verhaltensweisen und Maßnahmen möglich.
Zu begrüßen ist, dass es keinen Automatismus zwischen Vorfall und Schadensersatzansprüchen gibt. Angesichts der Tatsache, dass es keine 100%ige Sicherheit gegen Cyberangriffe gibt, wäre in solchen Fällen die Annahme eines DSGVO-Verstoßes unangemessen und höchst problematisch für alle Unternehmen, die sich nach Kräften um Compliance bemühen. Da der Verantwortliche jedoch grundsätzlich die volle Beweislast für die Einhaltung angemessener Sicherheitsmaßnahmen trägt, sollten diese regelmäßig überprüft und lückenlos dokumentiert werden. Der Rückgriff auf Zertifizierungen kann sinnvoll sein.
Fazit
Die jüngsten Entwicklungen im Bereich Bußgeldverfahren und Schadensersatz unterstreichen die Notwendigkeit für Unternehmen und Behörden, ihre Datenschutzpraktiken sorgfältig zu prüfen und sicherzustellen, dass sie den Anforderungen der DSGVO und anderer einschlägiger Vorschriften entsprechen. Dazu gehört nicht nur die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, sondern auch die Einhaltung von Betroffenenrechten und Transparenzpflichten.
