EuGH: DSGVO-Bescherungen Dezember 2023

Der EuGH (Europäische Gerichtshof) war äußerst fleißig zum Jahresende und beschert den Unternehmen und Organisationen mit seinen Urteilen Klarheit und Deutlichkeit in puncto Datenschutz.

Datenschutz funktioniert nicht ohne IT-Sicherheit. Deshalb gehören Datenschutz- und IT-Sicherheitsmanagement stets auf die Agenda der Chef-Etage. Ein Versäumnis in diesen Disziplinen kommt – gemäß der nachfolgenden Urteile – einer schuldhaften, unternehmerischen Nichtorganisation gleich, die sowohl Bußgelder als auch Schadensersatzansprüche zur Folge haben kann.

mb-datenschutz verfolgt diesen Focus in der Beratertätigkeit bereits seit Vorbereitung auf die DSGVO.


1. Urteil C-807/21: EuGH erklärt Datenschutz zur Chef-Sache

Der EuGH bestätigt die Berliner Aufsichtsbehörde in ihrer Rechtsauffassung und stellt fest, dass ein Unternehmen unmittelbar als juristische Person sanktioniert werden darf, wenn es schuldhaft (= grob fahrlässig oder vorsätzlich) gegen die DSGVO verstößt ohne, dass eine Pflichtverletzung einer Leitungsperson nachgewiesen werden muss. Es bedarf noch nicht einmal einer Kenntnis der Leitungspersonen von dem Verstoß.

Wenn das – gegen die DSGVO verstoßende – Unternehmen Bestandteil eines Konzerns ist, erfolgt die Bußgeldberechnung auf der Grundlage des Jahresumsatzes des gesamten Konzerns.

Das bedeutet:

Eine Nichtorganisation des Datenschutzes ist schuldhaft, da der EuGH jeden Verstoß eines Mitarbeitenden
letztendlich auf ein Versagen der unternehmensinternen Aufsicht zurückführt.

  • Die Beauftragung eines Auftragsverarbeiters mit Aufgaben, die gegen die DSGVO verstoßen, ist schuldhaft.

So schützen Sie sich und Ihr(e) Unternehmen:

  • Aufbau und aktives in Kraft setzen einer nachhaltigen, lebenden Datenschutzorganisation – konzernweit
  • Inhaltliche Prüfung von Auftragsverarbeitungsverträgen (AVV) und deren Leistungsgegenständen

Der Auslöser dieses EuGH-Urteils war die Verhängung eines Bußgeldes der Berliner Aufsichtsbehörde i.H.v. 14,5 Mio EUR gegen die Deutsche Wohnen, die die Datenspeicherung von Mieterdaten über den erforderlichen Zeitraum hinaus und ohne Rechtsgrundlage praktiziert(e). Pressemitteilung des EuGH zu diesem Urteil: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230184de.pdf

 


2. Urteil C-340/21: Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Kurzform:

Der EuGH beantwortet die Frage, ob ein Betroffener Schadensersatzansprüche an einen Verantwortlichen stellen kann, wenn dieser gehackt wurde und die erbeuteten Daten dann im Internet landen => Ja, wenn der  Verantwortliche nicht beweisen kann, dass seine getroffenen Schutzmaßnahmen geeignet waren und er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ob Schutzmaßnahmen ungeeignet waren, müssen Gerichte stets im Einzelfall beurteilen.

So schützen Sie sich und Ihr(e) Unternehmen:

  • Dokumentieren Sie Ihre technischen und Organisatorischen Maßnahmen (TOM), die Sie bereits getroffen haben.
  • Prüfen Sie, ob Ihre TOM (Richtlinien, Prozesse, Arbeitsanweisungen, Schulungen, IT-Sicherheitsmaßnahmen) angemessen sind.
    • Ermitteln Sie dazu Ihre Risiken (höhere Gewalt, organisatorische Mängel, menschliches Fehlverhalten, technisches Versagen, vorsätzliche Handlungen inkl. Cyber-Angriffe), bewerten Sie Ihre Risiken in Bezug auf die Eintrittswahrscheinlichkeiten und die daraus resultierenden Folgen für
      • Ihr Unternehmen und
      • die Betroffenen, deren Daten Sie verarbeiten.
  • Stellen Sie Ihre TOM regelmäßig auf den Prüfstand, denn was heute angemessen ist, kann morgen schon überholt sein.
  • Nehmen Sie Ihre IT/Ihren IT-Dienstleister in die Pflicht in Bezug auf Aktualität Ihrer IT-Dokumentation – bei personellem Total-Ausfall sollte ein Fachkundiger schnell einspringen können, um Ihr Unternehmen am Laufen zu halten.

Der Auslöser dieses EuGH-Urteils war der erfolgreiche Cyber-Angriff auf die bulgarische Nationale Agentur für Einnahmen (NAP), die dem bulgarischen Finanzminister unterstellt ist. Diese Agentur zieht u.a. öffentliche Forderungen ein. Durch den Cyberangriff wurden Daten von Millionen von Menschen aus den Systemen der NAP im Internet veröffentlicht. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll. 

Pressemitteilung des EuGH: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230191de.pdf

 


3. Urteil C-683/21: Gemeinsame Verantwortlichkeit für die Verarbeitung bei der Entwicklung einer Covid-App

Kurzform:
Der EUGH stellt klar, dass es nicht davon abhängt, ob eine Vereinbarung oder ein Vertrag über eine „gemeinsame Verantwortung“ nach Art. 26 DSGVO geschlossen wurde, um festzustellen, ob eine gemeinsame Verantwortung vorliegt. Eine gemeinsame Verantwortung ergibt sich aus der tatsächlichen Konstellation der beteiligten Akteure:

Treffen zwei oder mehrer Verantwortliche eine Entscheidung über die Zwecke und Mittel einer Datenverarbeitung bzw. haben sie an der Entscheidung auch nur mitgewirkt, sind alle Beteiligten „gemeinsam verantwortlich“ – sofern sie tatsächlich im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung Einfluss genommen haben. Dabei ist es nicht erforderlich, dass

    • jeder Akteur selbst personenbezogene Daten verarbeitet oder
    • jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat.

Es reichte im Covid-App-Fall beispielsweise aus,

    • dass die Parameter dieser App, z.B. welche Fragen gestellt werden und wie diese formuliert sind, an den Bedarf des NZÖG angepasst wurden und, dass das NZÖG bei ihrer Festlegung eine aktive Rolle gespielt hat.

Wird eine gemeinsame Verantwortung festgestellt, müssen alle Beteiligten eine nachweisbare, transparente Vereinbarung über die Funktionen, Pflichten und den Beziehungen der Beteiligten gegenüber den Betroffenen untereinander treffen und die wesentlichen Inhalte daraus den Betroffenen zur Verfügung stellen.

So schützen Sie sich und Ihr(e) Unternehmen:

  • Binden Sie bereits bei der Planung solcher Projekte Ihren Datenschutzbeauftragten ein!

Der Auslöser dieses EuGH-Urteils war die Verhängung eines Bußgeldes der litauischen Aufsichtsbehörde i.H.v. 12.000 EUR gegen das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium (NZÖG), das ein privates Unternehmen mit einer App-Entwicklung beauftragte, die der Erfassung und Überwachung
der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte. Pressemitteilung des EuGH zu diesem Urteil (wie bei 1.): https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230184de.pdf