Die innerstaatlichen Gesetze erweisen sich als Hindernisse für die Harmonisierung der DSGVO Artikel

Trotz der Unterschiede zwischen verschiedenen Datenschutzbehörden (DPAs) hinsichtlich des Ausmaßes der Bestrafung, die sie der DSGVO auferlegen sollten, scheint es nun, dass einige Gerichtsbarkeiten festgestellt haben, dass lokale Gesetze entweder Vorrang haben oder sie ganz beseitigen können.

Im Februar wurde gegen die Deutsche Wohnen eine Geldbuße in Höhe von 14,5 Mio. € (17,2 Mio. US $) verhängt, nachdem das Landgericht Berlin festgestellt hatte, dass das Unternehmen nach deutschem Recht nur dann für Verstöße gegen die DSGVO verantwortlich gemacht werden kann, wenn die Zensur gegen eine Einzelperson gerichtet werden kann Spezifisch oder exekutiv – obwohl in der DSGVO selbst keine solche Anforderung besteht.

Gemäß Artikel 83 der Verordnung, der sich mit der Verhängung von Geldbußen befasst, sind Unternehmen und nicht Einzelpersonen für Datenschutzverletzungen verantwortlich.

Das Bundesgesetz über Ordnungswidrigkeiten sieht jedoch vor, dass gegen Unternehmen nur dann Geldbußen verhängt werden können, wenn Beweise für eine bestimmte Handlung des Managements oder gesetzlicher Vertreter vorliegen, die zu einem Verstoß gegen das Gesetz geführt hat. Die Staatsanwaltschaft legte gegen die Entscheidung des Berliner Gerichts Berufung ein.

Die deutschen Datenschutzbehörden (DSK) haben konsequent die Ansicht vertreten, dass nur eine Datenaufsichtsbehörde einen Verstoß gegen die DSGVO nachweisen muss, damit das Unternehmen haftbar gemacht und mit einer Geldstrafe belegt werden kann. Laut DSK muss keine Person (ob Mitarbeiter oder Senior Manager) identifiziert werden.

Camila Winloo, Director of Consulting bei DQM GRC, spezialisiert auf Datenschutz, bezeichnet das Urteil als „unerwartet“.

„Das Berliner Gericht entschied, dass das Berliner Ministerium für politische Angelegenheiten Beweise für Fahrlässigkeit einzelner Direktoren vorlegen musste, um Erfolg zu haben. Es schien, dass das, was sie tatsächlich vorlegten, Beweise für Verstöße über einen bestimmten Zeitraum waren.“ Hinzufügen, dass dies „zeigt, wie schwierig es ist. Datenschutzbehörden verhängen konstante GDPR-Bußgelder.“

Es könnte schwierig sein, den Grad der Beteiligung des Managements an künftigen GDPR-Fragen nachzuweisen, fügt Wainlo hinzu: „Die Datenschutzbehörde in Berlin hat sich offenbar auf den Nachweis der Nichteinhaltung der Datenschutzanforderungen in Bezug auf Datenlösch- und Speichergrenzen konzentriert aus einer Reihe von Audits. „Um zu zeigen, dass das Problem angesprochen und nicht angesprochen wurde. Es ist jedoch normalerweise nicht die Aufgabe des Auditors, die persönliche Verantwortung für die Lösung der Probleme zuzuweisen.“

„Nur die Zeit wird zeigen, ob dieses Problem europaweit harmonisiert werden kann, und das Ergebnis wird für die künftigen Aktivitäten der DSGVO von großer Bedeutung sein.“

Lars Linsdorf, Partner, Covington & Perling

Während viele Experten sagen, dass das Urteil des Berliner Gerichts das Land im Widerspruch zur Allgemeinen Datenschutzverordnung (DSGVO) sowie zur Durchsetzung durch andere EU-Gerichtsbarkeiten stellt, haben Gerichte in einigen anderen EU-Mitgliedstaaten eine ähnliche Haltung eingenommen.

Im vergangenen Jahr hat das Bundesverwaltungsgericht Österreich Entscheidung aufgehoben Um der österreichischen Post, dem Hauptpostdienst des Landes, eine Geldbuße von 18 Millionen Euro (20 Millionen USD) aufzuerlegen, schreibt die österreichische Verfahrensordnung vor, dass eine Aufsichtsbehörde eine Einzelperson oder mehrere Personen (nicht unbedingt Manager) eines Unternehmens, das über eine solche verfügt, verpflichtet einen Verstoß gegen die DSGVO begangen.

Im Dezember umging der französische Datenschutzbeauftragte CNIL die gesamte Datenschutzverordnung und setzte das Datenschutzgesetz des Landes ein, um gegen Google und Amazon eine Geldstrafe von 135 Millionen Euro (163 Millionen US-Dollar) für die Verwendung von Cookies zu verhängen.

Zu diesem Zeitpunkt gaben mehrere Anwälte an, Frankreich habe beschlossen, die vor Inkrafttreten der DSGVO geltenden Rechtsvorschriften „kreativ anzuwenden“, um Unternehmen dazu zu bewegen, schneller als ihre benannten Aufsichtsbehörden – Irland (Google) und Luxemburg (Amazon) – zu buchen. – Im Schatten des langsamen und stark kritisierten „Einzelfensters“ der DSGVO. Viele Experten glauben, dass andere Länder mit starkem Appetit auf die Durchsetzung der DSGVO – wie Spanien, Italien und Belgien – diesem Beispiel folgen könnten.

Experten vermuten, dass Gerichte in anderen Ländern wahrscheinlich auch einen Konflikt zwischen der DSGVO und bereits bestehenden innerstaatlichen Rechtsvorschriften gesehen haben (und vielleicht auch an zweiter Stelle). Die Tatsache, dass nicht alle Datenschutzbehörden in der Europäischen Union Informationen zu Sanktionsentscheidungen veröffentlichen, erschwert eine ordnungsgemäße Analyse und einen Vergleich – ein Thema, das auch von der britischen Informationskommissarin Elizabeth Denham angesprochen wurde.

Akber Datoo, CEO von D2 Legal Technology, einem Beratungsunternehmen, sagt, dass die Deutsche Wohnen und andere Fälle „zeigen, dass die Berechnung und Bestimmung von GDPR-Bußgeldern noch in der Entwicklung ist“ und dass es „erneut bestätigt, dass es sich lohnen könnte, GDPR-Bußgelder anzufechten.“ „Für den Datenschutz vor Gericht.“ Dies gilt insbesondere für Deutschland, weil „es nicht mehr möglich ist, die Bußgeldrichtlinien für deutsche Datenschutzabkommen anzuwenden, da festgestellt wurde, dass sie die erforderlichen Kriterien nach Artikel 83 nicht erfüllen.“ ”

Laut Lars Lensdorf, Partner der Anwaltskanzlei Covington & Burling, könnte die Frage der Wechselwirkung zwischen Artikel 83 der DSGVO und den nationalen Vorschriften für Beweismittel und Verfahren möglicherweise an den Gerichtshof der Europäischen Union verwiesen werden. „Nur die Zeit wird zeigen, ob dieses Problem europaweit harmonisiert werden kann, und das Ergebnis wird für die künftigen Aktivitäten der DSGVO von großer Bedeutung sein“, sagt er.

Winloo rät jedoch zur Vorsicht. „Ich halte es nicht für eine gute Idee, aus einer einzigen Gerichtsentscheidung zu viele Schlussfolgerungen zu ziehen, gegen die Berufung eingelegt und aufgehoben werden kann“, sagt sie.