IckeT - Fotolia
Datenschutz: Wer bei Datenpannen die Verantwortung trägt
Der Europäische Gerichtshof (EuGH) hat klargestellt, wann die Geschäftsführung als verantwortliche Stelle nach DSGVO mit Sanktionen bei einer Datenschutzverletzung rechnen muss.
Wir erinnern uns: Im Oktober 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen eine Immobiliengesellschaft erteilt. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hatte die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen.
Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich war. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Das Landgericht Berlin hatte dann am 18. Februar 2021 das Bußgeldverfahren der Berliner Beauftragten für Datenschutz und Informationsfreiheit eingestellt. Das Landgericht Berlin vertrat die Rechtsauffassung, dass Bußgelder gegen juristische Personen nur verhängt werden könnten, wenn eine nachgewiesene konkrete Handlung von Leitungspersonen oder gesetzlichen Vertretern dargelegt wird, die zu dem Bußgeldtatbestand geführt hat.
Bußgelder gegen juristische Personen
Die Berliner Datenschutzbeauftragte sah dies anders und erklärte damals: „Die Auslegung des deutschen Ordnungswidrigkeitenrechts durch das Landgericht Berlin steht nicht im Einklang mit dem Willen des europäischen Gesetzgebers. Diese Regelungen müssen im Licht der europäischen Vorschriften ausgelegt werden, um eine einheitliche Anwendung der DSGVO in allen Mitgliedstaaten zu gewährleisten. Entscheidend ist, dass ein Datenschutzverstoß festgestellt wird und nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen.“
Die Staatsanwaltschaft Berlin hatte dann im Einvernehmen mit der Datenschutzaufsichtsbehörde eine Beschwerde gegen den Beschluss des Landgerichts Berlin eingelegt.
Dabei ging es nicht nur um den konkreten Fall, sondern um die Sanktionspraxis bei Datenschutzverletzungen im Allgemeinen. Die Berliner Beauftragte für den Datenschutz betonte entsprechend: „Ich begrüße, dass die Staatsanwaltschaft Berlin Rechtsmittel gegen den Beschluss des Landgerichts Berlin eingelegt hat und hoffe, dass durch eine gerichtliche Klärung der Frage des Verhältnisses von nationalem Ordnungswidrigkeitenrecht und europäischem Datenschutzrecht die erforderliche Rechtssicherheit geschaffen wird – nicht nur für die deutschen Aufsichtsbehörden, sondern auch für die datenverarbeitenden Unternehmen.“
Inzwischen gibt es ein Urteil des EuGH (Europäischen Gerichtshof) dazu.
EuGH bestätigt die Sanktionspraxis der deutschen Datenschutzbehörden
Im Dezember 2023 stellte der EuGH (Urteil C-807/21) fest, dass datenschutzrechtliche Bußgelder direkt gegen Unternehmen festgesetzt werden können, ohne dass eine Pflichtverletzung einer Leitungsperson (wie Vorstand oder Geschäftsführung) nachgewiesen werden muss. Damit bestätigt der EuGH die Sanktionspraxis der Datenschutzaufsichtsbehörden und stärkt so die effektive Durchsetzung von Sanktionen gegenüber Unternehmen, wie die Berliner Beauftragte erklärte.
Geklärt wurde also die Grundsatzfrage, ob ein Unternehmen als juristische Person unmittelbar für Datenschutzverstöße nach der Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss.
Für eine direkte Sanktionierung des Unternehmens reicht der europäischen Rechtsprechung zufolge die Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen. Es bedarf noch nicht einmal einer Kenntnis der Leitungspersonen von dem Verstoß.
Zudem entschied der EuGH, dass ein Verstoß nur bejaht werden kann, wenn er vorsätzlich oder fahrlässig begangen wurde. Allerdings weist der EuGH auch darauf hin, dass ein Verantwortlicher für ein Verhalten sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt.
EuGH bestätigt: Unternehmen haften für alle Beschäftigten
Eine datenschutzrechtliche Haftung von Unternehmen besteht also schon dann, wenn sich die verantwortlichen Stellen über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein konnten, unabhängig davon, ob ihnen dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstoßen, so die Bremer Datenschutzaufsicht.
Der EuGH kassierte damit im datenschutzrechtlichen Zusammenhang die deutsche Regelung im Ordnungswidrigkeitengesetz, wonach eine Geldbuße gegen eine juristische Person nur dann verhängt werden kann, wenn der Verstoß einer identifizierten natürlichen Leitungsperson zugerechnet werden kann.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer, kommentierte, dass der EuGH jetzt noch einmal unmissverständlich festgestellt habe, was bereits aus der DSGVO hervorgeht: Unternehmen haften in datenschutzrechtlicher Hinsicht für alle Beschäftigten.