EuGH gibt grünes Licht für europäische Sanktionen durch Datenschutzbehörden

Der Europäische Gerichtshof (EuGH) hat entschieden, dass Datenschutzaufsichtsbehörden uneingeschränkte Befugnisse besitzen, Unternehmen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) mit Bußgeldern zu belegen. Dabei spielt es keine Rolle, ob der Verstoß direkt auf das Fehlverhalten einer Führungskraft zurückzuführen ist. Unternehmen haften demnach auch dann, wenn Verstöße gegen die DSGVO strukturell oder durch Prozesse bedingt auftreten. Datenschutzverletzungen können somit weiterhin konsequent geahndet werden.

Dieses Urteil ist von erheblicher Bedeutung für das Datenschutzrecht. Bis jetzt gingen Unternehmen davon aus, dass lediglich natürliche Personen für Datenschutzverstöße zur Rechenschaft gezogen werden können. Diese Auffassung hätte die Durchsetzung der DSGVO erschwert, da Unternehmen die Haftung häufig auf interne Strukturen und Einzelpersonen abwälzen konnten. Mit seinem Urteil hat der EuGH diese Auffassung nun vom Tisch gefegt.

Das Urteil macht klar, dass Unternehmen direkt in der Pflicht stehen, die Datenschutzvorschriften einzuhalten. Verstöße werden direkt der Organisation zugerechnet, unabhängig davon, ob einzelne Führungskräfte persönlich gegen die Regeln gehandelt haben. Dies erleichtert es den Datenschutzbehörden, Verstöße zu ahnden, da sie sich auf die Gesamtverantwortung des Unternehmens stützen können, ohne detaillierte Einblicke in interne Strukturen oder Entscheidungswege nachweisen zu müssen. Die Datenschutz-Grundverordnung kann so sehr viel effektiver durchgesetzt werden.

Für Firmen ändert sich dadurch die Frage der Haftbarmachung. Aus dem Urteil resultiert, dass sie sich in puncto Compliance deutlich sicherer aufstellen sollten. Dazu gehören die Installation von Management-Systemen, die den Datenschutz umfassen, sowie die ambitionierte Mitarbeiterschulung, einhergehend mit entsprechenden technischen Voraussetzungen, um unnötige Risiken und Bußgelder zu vermeiden, die das Unternehmen in wirtschaftliche Bedrängnis bringen könnten. Das Urteil bestätigt eindrucksvoll die Herangehensweise zahlreicher Datenschutzbehörden in den EU-Staaten, zu denen auch die deutschen Aufsichtsbehörden gehören. Außerdem unterstreicht das Urteil die Verantwortung von Unternehmen und Führungskräften, sorgsamen Datenschutz nicht als Bürde zu begreifen, sondern als ethische wie moralische Verpflichtung gegenüber Geschäftspartnern und Kunden. Die Entscheidung des EuGH, Unternehmen unabhängig von individueller Schuld bei Datenschutzverstößen zur Rechenschaft zu ziehen, dürfte viele zu einem Umdenken bewegen und stellt einen bedeutenden Fortschritt für den Datenschutz in der EU dar.