Unternehmen haften für schuldhafte Handlungen von Mitarbeitern
In einer wegweisenden Entscheidung, die der Europäische Gerichtshof (EuGH) am vergangenen Dienstag bekanntgab (Deutsche Wohnen vs. Berlin), wurde klargestellt, dass Unternehmen für schuldhafte Verstöße, ihrer Mitarbeitenden direkt mit DSGVO Bußgeldern sanktioniert werden können.
Bemerkenswert dabei ist, dass es nicht zwingend erforderlich ist, die individuell handelnden Personen zu identifizieren oder Führungskräfte des Unternehmens verantwortlich zu machen. Der EuGH argumentierte, dass die Feststellung eines Verstoßes durch Mitarbeitende letztendlich auf ein Versagen der unternehmensinternen Aufsicht hindeutet.
Zusätzlich bestätigte der Europäische Gerichtshof (EuGH), dass in einer Konzernstruktur der Gesamtumsatz des gesamten Unternehmens maßgeblich für die Höhe von DSGVO Bußgeldern ist. Dies bedeutet, dass nicht nur der Umsatz der Tochtergesellschaft, in der ein Verstoß begangen wurde, berücksichtigt wird, sondern der Gesamtumsatz des Konzerns. Die Entscheidung des EuGH unterstreicht somit die weitreichende Verantwortung von Konzernen für die Einhaltung von Datenschutzbestimmungen.
Voraussetzungen für die Verhängung von Bußgeldern
Voraussetzung für die Verhängung von DSGVO Bußgeldern ist eine schuldhafte Handlung oder eine Unterlassung, dies wäre Fahrlässigkeit oder Vorsatz. Nach Urteil des Europäischen Gerichtshofs (EuGH) kann es zur Verhängung eines Bußgelds bereits genügen, wenn der Betroffene über die Rechtswidrigkeit seines Verhaltens „nicht im Unklaren“ sein konnte.
In Artikel 24 der DSGVO werden dem Verantwortlichen für eine Verarbeitung umfangreiche Pflichten auferlegt, welche indirekt ein Datenschutz-Management und dessen regelmäßige Überprüfung und Aktualisierung im Unternehmen verlangen. Zudem sind Mitarbeiterunterweisungen zur Einhaltung von Datenschutzvorschriften fester Bestandteil von Schutzmaßnahmen.
Aufgrund dieser grundlegenden Pflichten dürfte, die die Schwelle zu einer schuldhaften Handlung in der Praxis schnell erreicht sein. Im Zweifel müssen Gerichte über die Frage der Schuldhaftigkeit einer Handlung oder Unterlassung entscheiden.
Datenschutz-Bußgelder ziehen an
Mit Einführung der DSGVO gab es zunächst eine Zurückhaltung der Aufsichtsbehörden bei Bußgeldern. Die Anzahl und Höhe der Bußgelder erhöhte sich in den Folgejahren merklich.
Seit Einführung der DSGVO wurden in Deutschland Bußgelder in Höhe von über 55 Mio. EUR verhängt. Europaweit waren es über 4,5 Mrd. EUR. Spitzenreiter dabei waren die Sektoren Medien- und Telekommunikation, gefolgt von den Sektoren Industrie und Handel. Bußgelder können über die Webseite https://www.enforcementtracker.com verfolgt werden.
Im Kontext der Datenschutz-Grundverordnung (DSGVO) erfolgt die Festlegung der Bußgeldhöhe anhand verschiedener Kriterien. Die DSGVO ermöglicht Geldbußen von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist. Die genaue Höhe der Bußgelder hängt von der Art, Schwere und Dauer des Verstoßes ab. Verstöße können von mangelnder Transparenz bei der Datenverarbeitung bis hin zu schwerwiegenden Datenschutzverletzungen reichen. Unternehmen sollten daher nicht nur auf die Vermeidung von Verstößen achten, sondern auch auf eine umfassende Datenschutz-Compliance setzen, um potenziell erhebliche Bußgelder zu verhindern.
Was tun? Compliance-Maßnahmen umsetzen und Dokumentation prüfen
Diese Entscheidung wirft ein neues Licht auf die Haftung von Unternehmen und betont die Bedeutung eines effektiven Datenschutz-Managements im Unternehmen, um Sanktionen zu vermeiden.
Bußgelder können nach dem Urteil bei einem schuldhaften Verstoß, also bei Vorsatz oder Fahrlässigkeit der eigenen Mitarbeiter oder eines Auftragsverarbeiters verhängt werden. Aber auch bereits dann, wenn sich Mitarbeiter über ein rechtswidriges Verhalten nicht im unklaren sein können.
Unternehmen sollten daher auf die Umsetzung von Compliance-Maßnahmen achten. Bekannte Schwachstellen im Datenschutz müssen zeitnah geschlossen werden. Prüfen Sie Verträge mit Auftragsverarbeitern und dokumentieren Sie das Ergebnis. Zudem ist auf eine wirksame und dokumentierte Schulung und Unterweisungen von Mitarbeiter zu achten um sich gegen den Vorwurf des Versagens der unternehmensinternen Aufsicht schützen zu können.
Quelle: PRESSEMITTEILUNG Nr. 184/23 des EuGH https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230184de.pdf