Der Europäische Gerichtshof (EuGH) hat zwei wegweisende Entscheidungen getroffen, die die Arbeit der Aufsichtsbehörden wesentlich erleichtern und damit die Sanktionspraxis vorantreiben werden. Was das besonders für Unternehmen bedeutet, haben wir nachfolgend zusammengefasst.
Der EuGH bestätigte im Fall Deutsche Wohnen, dass ein Bußgeld gegen eine juristische Person verhängt werden kann. Die Bußgeldhaftung des Unternehmens hängt also nicht davon ab, ob zuvor der Verstoß einer natürlichen Person als Unternehmensvertreter festgestellt worden ist. Das Unternehmen selbst kann Empfänger des Bußgeldes sein. Die im deutschen OWiG enthaltene Einschränkung, dass ein Verstoß einer natürlichen Person festgestellt werden muss, erklärte der EuGH sogar für DSGVO-widrig. Dies vereinfacht die Behördenarbeit deutlich und wird mit großer Sicherheit zu mehr Geldbußen für Datenschutzverstöße in der Zukunft führen.
Zudem bestätigte der EuGH vor Kurzem, dass auch dann Verantwortung für Datenschutzverstöße besteht, wenn diese von einem Auftragsverarbeiter und nicht von eigenen Mitarbeitern begangen wurden, solange die betreffenden Verarbeitungsvorgänge im Namen des Verantwortlichen durchgeführt wurden und der Verstoß somit im Zuge der Auftragserfüllung erfolgte. Diese Entscheidung macht deutlich, wie wichtig bereits die Auswahl des Dienstleisters ist, dem personenbezogene Daten anvertraut werden. Eine genaue Prüfung des Vertrags vor Unterzeichnung sowie eine Prüfung der Angemessenheit der vom Dienstleister implementierten technischen und organisatorischen Maßnahmen (TOM) zur selben Zeit sind essentiell.
Regelmäßige Überprüfungen der vom Auftragsverarbeiter implementierten TOM nach Vertragsantritt sind ebenso wichtig. Außerdem ist es ratsam, von dem bestehenden Anspruch auf Audits bei Vertragspartnern Gebrauch zu machen, um auch während der Partnerschaft sicher sein zu können, dass die bereitgestellten Daten datenschutzkonform verarbeitet werden.
Das BayLDA weist in seinem Tätigkeitsbericht für 2023 die bisher höchste Anzahl an Bußgeldern seit Geltungsbeginn der DSGVO aus. Insgesamt wurden Sanktionen in Höhe von etwa 3,8 Millionen Euro verhängt, darunter befinden sich auch Bußgelder im siebenstelligen Bereich, deren Empfänger allerdings unbekannt blieben. Für die Zukunft kündigte das BayLDA eine konsequente Sanktionierung von Verstößen an, was durch die frischen EuGH-Entscheidungen einen weiteren Anstieg der Bußgeldzahlen erwarten lässt.