News 25. Januar 2024

Datenschutz-Bußgelder nach 'Deutsche Wohnen'

Von Martin Schmitt

TL;DR

Der EuGH erlaubt Bußgelder gegen Unternehmen ohne Zuordnung zu einer bestimmten natürlichen Person, fordert jedoch weiterhin den Nachweis eines Verschuldens.

EuGH-Entscheidungen im Überblick

Der Europäische Gerichtshof hat in wegweisenden Entscheidungen zur Bußgeldpraxis bei Datenschutzverstößen Stellung genommen. Die zentralen Erkenntnisse:

  • Keine Zuordnung zu Unternehmensleitung erforderlich. Bußgelder können verhängt werden, ohne dass ein konkreter Verstoß einer bestimmten natürlichen Person in der Unternehmensleitung zugeordnet werden muss.
  • Bußgelder können direkt gegen Organisationen verhängt werden. Unternehmen haften als Gesamtorganisation für Datenschutzverstöße.
  • Nachweis des Verschuldens bleibt Pflicht – der EuGH lehnt verschuldensunabhängige Haftung ab. Ein Bußgeld setzt voraus, dass das Unternehmen den Verstoß vorsätzlich oder fahrlässig begangen hat.

Vereinbarkeit mit deutschem Recht

Die flexible, EU-konforme Auslegung der OWiG-Vorschriften, insbesondere der §§ 30 und 130, ermöglicht sogenannte anonyme Bußgelder. Dies bedeutet, dass Unternehmen auch dann sanktioniert werden können, wenn keine konkrete natürliche Person als Verantwortliche identifiziert werden kann.

Hinsichtlich der Beweislastverteilung gilt: Deutsche Behörden müssen sowohl den Datenschutzverstoß als auch das Verschulden des Unternehmens nachweisen. Die Beweislast liegt also bei der Aufsichtsbehörde, nicht beim Unternehmen.

Auswirkungen auf die Bußgeldpraxis

Bußgelder erfordern den Nachweis von Verschulden. Allerdings ist die Schwelle hierfür relativ niedrig angesetzt. Unternehmen haften bereits dann, wenn sie Verstöße hätten erkennen und verhindern müssen. Ein proaktives Vorgehen ist daher entscheidend.

Positiv zu vermerken: Eine Verteidigung durch Nachweis von Compliance-Maßnahmen ist grundsätzlich möglich. Wer belegen kann, dass angemessene Schutzmaßnahmen implementiert wurden, kann das Bußgeldrisiko reduzieren.

Präventive Maßnahmen

Um das Bußgeldrisiko wirksam zu minimieren, empfehlen sich folgende Schritte:

  • Compliance-Management-Systeme etablieren, die Datenschutzprozesse strukturiert abbilden und überwachen.
  • Eine umfassende Datenschutzdokumentation aufbauen, die alle Verarbeitungstätigkeiten, Risikoanalysen und getroffene Maßnahmen lückenlos erfasst.
  • Kooperation mit Aufsichtsbehörden erwägen, um bei eventuellen Untersuchungen Transparenz und Kooperationsbereitschaft zu signalisieren.

Disclaimer: Dieser Artikel bietet allgemeine Informationen und ersetzt keine individuelle Rechtsberatung.

DSGVO Bußgelder EuGH Compliance
Alle Insights