Seit 2018 ist sie da, die Datenschutzgrundverordnung (DSGVO). Auch wenn bereits 5 Jahre vergangen sind, gibt es noch immer viele Fragen, die ungeklärt und umstritten sind.
Jetzt hat der Europäische Gerichtshof ein paar Fragen entschieden. Bislang waren sich Rechtswissenschaft, Aufsichtsbehörden und Gerichte nicht einig bei der Frage, ob die Festsetzung eines Bußgelds nach einem DSGVO-Verstoß ein Verschulden voraussetzt – oder ob die objektive Tatsache eines Verstoßes ausreicht.
Diese Frage ist nun geklärt: Nur, wenn der DSGVO-Verstoß vorsätzlich oder fahrlässig begangen wurde, kann ein Bußgeld festgesetzt werden. Das ist zunächst mal für datenverarbeitende Unternehmen eine gute Nachricht.
Allerdings stellte der Europäische Gerichtshof auch fest: Es reicht aus, dass irgendjemand (!) innerhalb des datenverarbeitenden Unternehmens bzw. innerhalb der Organisation diesen Verstoß begangen hat. Es kommt auch nicht darauf an, ob/dass die Geschäftsleitung davon wusste oder nichts wusste.
Das heißt: Die Aufsichtsbehörde, die das Bußgeld festsetzt (das mit Blick auf seine Höhe übrigens ausdrücklich „abschreckend“ wirken soll!), muss nicht feststellen, wer konkret denn fahrlässig oder vorsätzlich gehandelt hat – es reicht aus, dass irgendwer fahrlässig oder vorsätzlich gehandelt hat.
Damit stellt der Europäische Gerichtshof aber auch das in Deutschland geltende „Zurechnungsmodell“ kalt: Denn nach deutschem Recht kann ein Unternehmen nur mit einer Geldbuße belegt werden, wenn das rechtswidrige Verhalten einer Leitungsperson zugerechnet werden kann. Das aber gilt jedenfalls im Rahmen der DSGVO nun nicht.
Für datenschutzrechtlich Verantwortliche (und das sind ja nahezu jedes Unternehmen und jede Organisation) wird es nun umso interessanter, geeignete Compliance-Strukturen zu schaffen – das kann sich lohnen! Nicht nur, um Bußgelder zu vermeiden, sondern natürlich auch, um überhaupt einen Verstoß gegen die DSGVO zu verhindern!