Lokale Gesetze erweisen sich als Hindernisse für die Harmonisierung der DSGVO Artikel

Trotz Meinungsverschiedenheiten zwischen verschiedenen Datenschutzbehörden (DPAs) darüber, wie sie die DSGVO strafbar anwenden sollen, scheint es nun, dass einige Gerichtsbarkeiten festgestellt haben, dass lokale Gesetze entweder Vorrang haben oder sie insgesamt außer Kraft setzen können.

Im Februar wurde eine Geldbuße von 14,5 Millionen Euro gegen die Deutsche Wohnen fallen gelassen, nachdem das Berliner Landgericht festgestellt hatte, dass das Unternehmen nach deutschem Recht nicht für den Verstoß gegen die DSGVO haftbar gemacht werden kann, es sei denn, die Schuld kann einer bestimmten Person zugeschrieben werden Person oder Führungskraft – auch wenn eine solche Anforderung in der DSGVO selbst nicht besteht.

Nach Artikel 83 der Verordnung, der die Verhängung von Geldbußen regelt, werden Unternehmen und nicht Einzelpersonen für Datenschutzverletzungen zur Rechenschaft gezogen.

Das deutsche Verwaltungsvergehensgesetz sieht jedoch vor, dass gegen Unternehmen nur dann Geldbußen verhängt werden können, wenn Beweise für eine bestimmte Handlung vorliegen, die von der Geschäftsleitung oder gesetzlichen Vertretern begangen wurde und zu einem Verstoß gegen das Gesetz geführt hat. Die Staatsanwaltschaft legte gegen die Entscheidung des Berliner Gerichts Berufung ein.

Die Datenschutzkonferenz (DSK) hat immer die Ansicht geäußert, dass eine Datenaufsichtsbehörde nur nachweisen muss, dass ein Verstoß gegen die DSGVO vorliegt, damit ein Unternehmen zur Verantwortung gezogen und mit einer Geldstrafe belegt wird. Laut DSK muss keine Person (ob Angestellter oder leitender Angestellter) identifiziert werden.

Camilla Winlo, Direktorin des auf Datenschutz DQM GRC spezialisierten Beratungsunternehmens, beschreibt die Entscheidung als „unerwartet“.

„Das Berliner Gericht entschied, dass die Berliner Datenschutzbehörde die Fahrlässigkeit einzelner Führungskräfte nachweisen muss, um den richtigen Stock zu finden. Es scheint, dass das, was sie tatsächlich zur Verfügung stellten, ein Beweis für die Nichteinhaltung über einen bestimmten Zeitraum war “, sagte sie und fügte hinzu, dass dies„ zeigt, wie schwierig es für Datenschutzbehörden ist, GDPR-Bußgelder durchzusetzen. „“

Winlo fügt hinzu, dass es schwierig sein könnte, den Grad der Beteiligung des Managements in zukünftigen GDPR-Fällen nachzuweisen: „Die Berliner Datenschutzbehörde scheint sich darauf konzentriert zu haben, die Nichteinhaltung der Datenschutzanforderungen in Bezug auf die Datenlöschung und -beschränkung nachzuweisen. Er hatte Beweise aus einer Reihe von Kontrollen, die zeigten, dass das Problem angesprochen und nicht angesprochen worden war. Es ist jedoch im Allgemeinen nicht Sache eines Abschlussprüfers, die persönliche Verantwortung für die Lösung von Problemen zu übertragen. „“

„Nur die Zeit wird zeigen, ob dieses Problem europaweit angegangen werden kann, und das Ergebnis wird in Zukunft für die Durchsetzungsmaßnahmen der DSGVO von großer Bedeutung sein.“

Lars Lensdorf, Partner, Covington & Burling

Während viele Experten sagen, dass das Urteil des Berliner Gerichts das Land mit der DSGVO in Konflikt bringt – ebenso wie die Art und Weise, wie andere EU-Gerichtsbarkeiten es angewendet haben -, haben Gerichte in einigen anderen EU-Mitgliedstaaten, EU, eine ähnliche Position eingenommen.

Im vergangenen Jahr hat das österreichische Bundesverwaltungsgericht eine Entscheidung für nichtig erklärt Die österreichische Post, der Hauptpostdienst des Landes, wird mit einer Geldstrafe von 18 Millionen Euro belegt. Damit erklärt das österreichische Verfahrensrecht, dass eine Aufsichtsbehörde nachweisen muss, dass eine oder mehrere Personen (nicht unbedingt leitende Angestellte) eines Unternehmens gegen die DSGVO verstoßen haben.

Im Dezember umging die CNIL, der französische Datenschutzbeauftragte, die DSGVO vollständig und nutzte das Datenschutzgesetz des Landes, um Google und Amazon mit einer Geldstrafe von 135 Millionen Euro (163 Millionen US-Dollar) für die Verwendung von Cookies zu bestrafen.

Zu dieser Zeit schlugen viele Anwälte vor, Frankreich habe beschlossen, die vor Inkrafttreten der DSGVO geltenden Rechtsvorschriften „kreativ“ anzuwenden, damit Unternehmen schneller als ihre Behörden buchen können. Ausgewiesene Kontrollen – Irland (Google) und Luxemburg (Amazon) ) – könnte unter dem langsamen und viel kritisierten GDPR-One-Stop-Shop-Mechanismus. Mehrere Experten glauben, dass andere Länder mit starkem Appetit auf die Anwendung der DSGVO, wie Spanien, Italien und Belgien, diesem Beispiel folgen könnten.

Experten vermuten, dass Gerichte in anderen Ländern wahrscheinlich auch den GDPR-Konflikt mit dem bereits bestehenden nationalen Recht gesehen haben (und möglicherweise an zweiter Stelle stehen). Die Tatsache, dass nicht alle EU-Datenschutzbehörden Informationen über Sanktionsentscheidungen veröffentlichen, erschwert eine ordnungsgemäße Analyse und einen Vergleich – ein Thema, das von der britischen Informationskommissarin Elizabeth Denham angesprochen wurde.

Akber Datoo, CEO der Rechtsdatenberatung D2 Legal Technology, sagt, dass der Fall Deutsche Wohnen und andere „zeigt, dass sich die Berechnung und Festsetzung von GDPR-Bußgeldern noch weiterentwickelt“, und dass er „erneut betont, dass es sich lohnen könnte, GDPR-Bußgelder vor Gericht anzufechten . . Dies gilt insbesondere für Deutschland, weil „die deutschen Bußgeldrichtlinien der Datenschutzbehörde nicht mehr angewendet werden können, weil festgestellt wurde, dass sie nicht den erforderlichen Artikel 83-Standards entsprechen“.

Laut Lars Lensdorf, Partner der Anwaltskanzlei Covington & Burling, kann die Frage der Wechselwirkung zwischen Artikel 83 DSGVO und den nationalen Beweis- und Verfahrensregeln letztendlich an den Gerichtshof des Vereinigten Königreichs verwiesen werden. “Europäische Union. „Nur die Zeit wird zeigen, ob dieses Problem europaweit angegangen werden kann, und das Ergebnis wird für die künftigen Durchsetzungsmaßnahmen der DSGVO von großer Bedeutung sein“, sagte er.

Winlo rät jedoch zur Vorsicht. „Ich denke nicht, dass es eine gute Idee ist, zu viele Schlussfolgerungen aus einer Gerichtsentscheidung zu ziehen, gegen die noch Berufung eingelegt und aufgehoben werden könnte“, sagte sie.