Nach einer erfolgreichen Klage des Unternehmens gegen den Bescheid und einer darauffolgenden Beschwerde der Staatsanwaltschaft, wandte sich das Berliner Kammergericht an den EuGH.
Am 5. Dezember 2023 entschied der EuGH in der Rechtssache C-807/21, dass Geldbußen gegen Unternehmen verhängt werden dürfen, auch ohne eine konkrete verantwortliche Person zu benennen, sofern der Verstoß vorsätzlich oder fahrlässig begangen wurde.
Die Entscheidung des EuGH unterstreicht die Wichtigkeit der Einhaltung von Datenschutzvorgaben für Unternehmen aller Größen. Sie signalisiert auch eine härtere Haltung der Datenschutzbehörden gegenüber Datenschutzverstößen, was die Risiken für Unternehmen erhöht, die ihre Datenschutzpraktiken nicht ernst nehmen. Die Botschaft ist klar: Datenschutz ist kein optionaler Teil des Geschäftsbetriebs, sondern eine grundlegende Anforderung.
Der Weg zum richtungsweisenden Urteil: Die Diskussion um die direkte Haftbarkeit juristischer Personen für DSGVO-Verstöße ist nicht neu. Seit dem Inkrafttreten der DSGVO im Mai 2018 gab es zahlreiche Diskussionen und unterschiedliche Auslegungen darüber, wie die Verordnung in Bezug auf die Haftung von Unternehmen anzuwenden ist. Insbesondere in Deutschland war die Lage aufgrund der spezifischen nationalen Gesetzgebung, die eine direkte Haftung von juristischen Personen nur unter bestimmten Bedingungen vorsah, besonders kompliziert.
Was bedeutet das Urteil nun konkret für Unternehmen?
- Direkte Haftbarkeit ohne individuelle Zurechnung: Unternehmen müssen sich anpassen! Bußgelder drohen auch ohne direkte Zuordnung von Verstößen zu Einzelpersonen. Dies zwingt Unternehmen dazu, ihre internen Prozesse und Datenschutzmaßnahmen zu überdenken und zu verstärken.
- Verschulden ist erforderlich: Obwohl die unmittelbare Haftbarkeit juristischer Personen nun klar ist, betonte der EuGH, dass ein schuldhaftes Verhalten für die Verhängung eines Bußgeldes erforderlich ist. Dies bedeutet, dass Unternehmen, die nachweislich angemessene Maßnahmen zur Einhaltung der DSGVO ergriffen haben, möglicherweise einer geringeren Gefahr von Bußgeldern ausgesetzt sind. Dennoch gilt es, nicht nachlässig zu werden.
- Potenziell höhere Bußgelder: Der EuGH hat auch klargestellt, dass bei der Bestimmung der Obergrenze der Geldbußen der unionskartellrechtliche Unternehmensbegriff heranzuziehen ist. Dies könnte dazu führen, dass bei Verstößen gegen die DSGVO nicht nur der Umsatz des direkt betroffenen Unternehmens, sondern auch der Umsatz der gesamten Unternehmensgruppe als Grundlage für die Berechnung der Bußgelder herangezogen wird. Eine signifikante Steigerung der Bußgelder ist demnach möglich.
Wie sollen Unternehmen nun reagieren?
Überprüfen Sie Ihre Datenschutzpraktiken! Es ist entscheidend, dass Unternehmen ihre Datenschutzpraktiken einer gründlichen Überprüfung unterziehen und sicherstellen, dass sie den Anforderungen der DSGVO entsprechen. Dies beinhaltet nicht nur die Einhaltung der Grundprinzipien des Datenschutzes, sondern auch die Implementierung und Überwachung effektiver Datenschutzmaßnahmen.
Verstärken Sie Ihre Compliance! Verbessern Sie proaktiv Ihre internen Compliance-Strukturen, indem Sie sicherstellen, dass jede Mitarbeiterin und jeder Mitarbeiter umfassend über die DSGVO-Anforderungen informiert ist. Es ist entscheidend, dass Ihr Team nicht nur über diese Richtlinien aufgeklärt wird, sondern auch versteht, wie sie im täglichen Geschäftsbetrieb umzusetzen sind, um Risiken zu minimieren und die Datensicherheit zu maximieren. Die Einführung eines Datenschutz-Compliance-Management-Systems könnte außerdem ein wichtiger Schritt sein, um das Risiko von Verstößen und damit verbundenen Bußgeldern zu minimieren.
Bereiten Sie sich auf mögliche Bußgelder vor! Trotz aller Vorsichtsmaßnahmen können Verstöße vorkommen. Unternehmen sollten daher finanziell und strategisch auf die Möglichkeit von Bußgeldern vorbereitet sein. Dies beinhaltet die Bildung von Rückstellungen für eventuelle Bußgelder und die Entwicklung einer Strategie für den Umgang mit Datenschutzverletzungen und den damit verbundenen rechtlichen Herausforderungen.
FAZIT: Das Urteil des EuGH ist ein Weckruf für Unternehmen in der gesamten Europäischen Union! Die unmittelbare Haftbarkeit juristischer Personen für DSGVO-Verstöße unterstreicht die Bedeutung des Datenschutzes als zentrales Anliegen der EU. Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der in die Unternehmenskultur und -praxis integriert werden muss. Vergessen Sie nicht: Die Zukunft gehört denjenigen, die bereit sind, Datenschutz nicht als Belastung, sondern als Chance zu begreifen, das Vertrauen ihrer Kunden zu stärken und einen nachhaltigen Wettbewerbsvorteil zu erzielen.
Unser Datenschutzpaket ist für Sie interessant? Dann lesen Sie hier gerne weiter.