Datenschutzwissen

EuGH erweitert die Möglichkeiten für Datenschutzaufsichtsbehörden bei der Verhängung von Sanktionen

Der Europäische Gerichtshof (EuGH) hat in einem jüngsten Urteil die Befugnisse und das Ermessen der Datenschutzaufsichtsbehörden genauer definiert und deren Bedeutung bei der Durchsetzung der Datenschutz-Grundverordnung (DSGVO) hervorgehoben. Datenschutzbeauftragte erhalten aus diesem Urteil eine deutliche Leitlinie für ihr Vorgehen bei Datenschutzverletzungen.

Das Urteil räumt behördlichen Datenschützern deutlich mehr Freiheit bei der Bemessung von Sanktionen ein, die aufgrund von Datenschutzverstößen zum Tragen kommen. Hat die verantwortliche Stelle beispielsweise schnell Maßnahmen eingeleitet, um die Wirkung der entstandenen Datenpanne abzumildern, oder wirksame Vorkehrungen getroffen, um einen Wiederholungsfall auszuschließen, darf und soll das von der Kontrollbehörde entsprechend gewürdigt werden. Das kann beispielsweise dazu führen, dass auf einen Bußgeldbescheid verzichtet wird, um so das betroffene Unternehmen zu motivieren, künftig aktiver den angemessenen Datenschutz mitzugestalten. Nach dem Motto: Anerkennung statt Strafe, um so eine intrinsische Motivation im betroffenen Unternehmen zu erreichen.

Die so erhöhte Flexibilität räumt den Behörden eine viel größere Gestaltungsmöglichkeit ein. Das Urteil ermöglicht den Behörden, individuell zu entscheiden, welche Maßnahmen erforderlich sind, um den Schutz personenbezogener Daten sicherzustellen. Dies kann unter Umständen bedeuten, dass bei rechtzeitigen und effektiven Maßnahmen der verantwortlichen Stelle, die eine Wiederholung der Datenschutzverletzung verhindern, eine mildernde Maßnahme ausreichend ist. Die Entscheidung des EuGH stärkt somit die Handlungsfreiheit der Aufsichtsbehörden und gibt den verantwortlichen Stellen einen Anreiz, Verstöße eigenständig zu korrigieren. Dies unterstützt ein vorausschauendes Vorgehen im Datenschutz und motiviert Unternehmen sowie andere Verantwortliche, eigene Maßnahmen zur Einhaltung der DSGVO zu ergreifen, bevor staatliche Interventionen nötig sind.

Schadenvermeidung durch aktiven Umgang mit Vorfällen

Dass ein Datenschutzverstoß grundsätzlich streng geahndet werden muss, ist mit diesem Urteil des EuGH Geschichte. Für Unternehmen heißt das aber keineswegs, dass sie grundsätzlich mit Milde und Nachsehen rechnen können. Vielmehr betont das Urteil die Bedeutung eines strukturierten Datenschutzmanagements, das präventiv arbeitet und Verstöße zügig behebt. Selbstverständlich sind auch weiterhin hohe Bußgelder und weitere Sanktionen möglich.

Wie profitieren Unternehmen von der neuen Rechtslage?

Das Urteil unterstreicht, dass Unternehmen, die Datenschutz wirklich ernstnehmen, auch bei ärgerlichen Zwischenfällen nicht unbedingt „mit dem Schlimmsten“ zu rechnen haben. Der EuGH erlaubt den Behörden, mildernde Maßnahmen zu ergreifen, wenn Unternehmen aktiv auf Verstöße reagieren und präventive Maßnahmen nachweisen können. Doch dazu sind transparente Strukturen und Prozesse wichtig, die das Unternehmen entwickeln muss:

  1. Pannen-Strategie: Jedes Unternehmen sollte einen klaren und effektiven Plan erstellen, um bei einer Datenpanne rasch zu handeln. Dazu gehört, Datenschutzvorfälle intern zu melden und zu dokumentieren sowie gegebenenfalls die Aufsichtsbehörde rechtzeitig zu benachrichtigen.
  2. Mitarbeiterschulung: Datenschutz ist ein fortlaufender Prozess. Regelmäßige Schulungen für die Mitarbeiter sind entscheidend, um alle über aktuelle Entwicklungen zu informieren und menschliche Fehler, die häufig zu Datenschutzverletzungen führen, zu reduzieren.
  3. Auskunfts-Prozesse: Transparente Erklärungen und zügige Reaktionen auf Anfragen zur Auskunft oder Löschung können nicht nur Verstöße verhindern, sondern auch das Vertrauen der Kunden in die Datenverarbeitung erhöhen. Je rascher und klarer Unternehmen in diesen Angelegenheiten handeln, desto weniger Aufwand entsteht für alle Beteiligten.

Proaktivität fördern statt grundsätzlich bestrafen

Die grundsätzliche Nachsicht von Behörden sollten Unternehmen nicht als gesetzt voraussehen. Flexibilität heißt nicht Willkür. Nur wenn Unternehmen nachweislich aktiv an der Einhaltung der DSGVO arbeiten und schnelle Korrekturen bei Verstößen vornehmen, kann eine strengere Maßnahme wie ein Bußgeld vermieden werden. Dazu gehören definierte Szenarien zum Datenschutz und den notwendigen Vorkehrungen, eindeutige Melde-Prozesse sowie eine lückenlose Überwachung aller datenschutzrelevanten Vorgänge im Unternehmen.

Zurück

Hier bloggt Ihre Redaktion.