Voraussichtlich keine “verschuldensunabhängige Haftung” (strict liability) für Unternehmen bei Datenschutzverstößen (Haftungs-Update!)

Voraussichtlich keine “verschuldensunabhängige Haftung” (strict liability) für Unternehmen bei Datenschutzverstößen

Wie angekündigt hat der Generalanwalt des EuGH am 27. April seine Schlussanträge zur Vorlagefrage zur strikten Gefährdungshaftung vorgelegt und bestätigte, dass die Datenschutzbehörden keine verschuldensunabhängigen Geldbußen gegen Unternehmen verhängen können.

Allerdings könnten die Aufsichtsbehörden für Datenschutz durchaus DSGVO-Bußgelder direkt gegen Unternehmen verhängen, dies setze aber den Nachweis eines vorsätzlichen oder fahrlässigen Handelns eines Mitarbeiters voraus.

Konsequenz: Leitungsebene muss für Mitarbeiter haften, wenn ein Organisationsverschulden vorliegt

Zitat Generalanwalt: “Eine juristische Person, die als für die Verarbeitung personenbezogener Daten Verantwortliche oder als Auftragsverarbeiterin eingestuft werden kann, muss die Folgen – in Gestalt von Sanktionen – von Verstößen gegen die DSGVO nicht nur tragen, wenn diese von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch, wenn die Verstöße von natürlichen Personen (Mitarbeitern im weiteren Sinne) begangen wurden, die im Rahmen der unternehmerischen Tätigkeit des Unternehmens und unter der Aufsicht der zuerst genannten Personen handeln.“

Anweisungen erteilen, Richtlinien erlassen und Kontrolle der Mitarbeiter ist die Aufgabe der Leitungsebene

Ein kontinuierliches Datenschutzmanagement wird es jetzt umso wichtiger um als Leitungsebene den Nachweis erbringen zu können, dass bei einem Datenschutzverstoß kein Organisationsverschulden (Auswahlverschulden, Anweisungsverschulden, Kontrollverschulden) zu diesem Datenschutzverstoß geführt hat.

Zwar muss eine Aufsichtsbehörde nach dem Antrag des Generalanwaltes den Nachweis erbringen, dass ein Organisationsverschulden vorliegt, jetzt wird es aber reichen, dass einem Mitarbeiter ein “Lapsus” passiert ist, der passieren konnte weil die Leitungsebene eben ihre Managementaufgaben nicht erfüllt hat.

Quelle: https://www.linkedin.com/pulse/eugh-generalanwalt-spricht-sich-gegen-haftung-f%C3%BCr-aus-tim-wybitul/

Quelle: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=31.12.2222&Aktenzeichen=C-807/21

Nun müssen wir noch auf das formelle Ergebnis des EuGH warten. Üblicherweise folgt der EuGH den Schlussanträgen des Generalanwaltes und beantwortet die Fragen des vorlegenden Gerichtes (hier: Rechtssache C-807/21), die dann in der Fortführung des entsprechenden Verfahrens verwendet werden.

Also …

• Schulungen / Awareness
• Anweisungen / Richtlinien
• Dienstleister managen (Auftragsverarbeitung, Gemeinsame Verantwortung)
• Dokumentation / Prüfungen veranlassen / Datenschutz-Checks (PDCA-Zyklus)
• usw.