Haftung des Unternehmens im Datenschutz

Die datenschutzrechtliche Verantwortlichkeit von juristischen Personen (per Rechtsakt geschaffene, nicht natürliche Personen, die Träger von Rechten und Pflichten sein können, zum Beispiel ein Verein, eine GmbH etc.) beschäftigt momentan die Richter des Europäischen Gerichtshofes in Luxemburg. [...]

Mag. Andreas Schütz ist Anwalt bei Taylor-Wessing. (c) Taylor-Wessing

Das Kammergericht Berlin stellte in der Sache »Deutsche Wohnen SE« folgende Frage: Sind die Bedingungen für die Verhängung von Geldbußen dahingehend auszulegen, dass ein Bußgeld auch unmittelbar gegen ein Unternehmen verhängt werden kann und es keiner Feststellung einer Ordnungswidrigkeit durch eine natürliche und identifizierbare, gegebenenfalls schuldfähige, Person, bedarf? Dies erinnert stark an das österreichische Verbandsverantwortlichkeitsgesetz (VbVG), wonach ein Verband für solche Straftaten verantwortlich ist, die zu Gunsten des Verbands begangen wurden, oder wenn eine Pflichtverletzung des Verbandes gegeben ist. Geldbußen sind direkt von der juristischen Person (also dem Verband) zu tragen.

Vor dem Kammergericht Berlin ging es um ein Unternehmen, das im Rahmen seiner Geschäftstätigkeit auch personenbezogene Daten von Mieter/innen verarbeitete. Es wurde der mehrfache Verstoß gegen die DSGVO festgestellt und in der Folge eine hohe Geldbuße gegen das Unternehmen festgesetzt. Das Gericht stellte während des Verfahrens dann die Frage, ob die Verhängung einer Geldbuße von der schuldhaften Handlung der Organe oder Leitungspersonen – also natürlichen Personen – abhängt oder eine juristische Person ohne Verschulden zur Zahlung einer Geldbuße herangezogen werden kann.

Der österreichische Verwaltungsgerichtshof stellte bereits mehrfach fest, dass für die Verhängung einer Geldbuße und somit die Verwaltungsstrafbarkeit einer juristischen Person die konkrete Benennung einer natürlichen Person erforderlich ist. Da die juristische Person nicht schuldhaft handeln kann, kann ihr nur das Verhalten einer natürlichen Person zugerechnet werden. Nach Ansicht des Verwaltungsgerichtshofes reicht es nicht aus, dass nur ein bestimmter Kreis natürlicher Personen in Frage kommt. Demgegenüber reicht es aber nach dem VbVG aus, einen Verband für Straftaten verantwortlich zu machen, wenn der in Betracht kommende Personenkreis eingeschränkt und konkretisiert werden kann. Die Feststellung, dass »irgendein Mitarbeiter des Verbandes die Tat begangen hat«, ist jedoch nicht ausreichend.

Es bleibt abzuwarten, wie der EuGH entscheidet: Müssen sich Unternehmen künftig für Datenschutzverletzungen unmittelbar verantworten oder bleibt es dabei, dass die Behörde vor der Verhängung einer Geldbuße eine schuldhaft handelnde natürliche Person identifizieren muss?

*Mag. Andreas Schütz ist Anwalt bei Taylor-Wessing.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*