Auf der 97. Konferenz am 3. April 2019 haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder die Haftung von Unternehmen im Datenschutzrecht hervorgehoben. Unternehmen haften (weiterhin) im Rahmen für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt.
Unionsrechtlicher / Funktionaler Unternehmensbegriff
Die DSK stützt sich auf den funktionalen Unternehmensbegriff, der auch im Rahmen der DSGVO gelte. Erwägungsgrund 150 der DSGVO verweist dementsprechend auf die AEUV:
Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.
Unternehmen sind nach diesem Verständnis
jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung.
(so auch st. Rspr., wohl seit EuGH, Urteil vom 23. 4. 1991 – C-41/90)
Eine Kenntnis der Geschäftsführung eines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich.
Unternehmenssanktionsecht soll modernisiert werden
Die DSK begrüßt die im Koalitionsvertrag vorgesehenen Modernisierungsmaßnahmen des Unternehmenssanktionsrechts. Diese seien geboten und entsprächen dann auch dem europäischen Kartellrecht sowie dem etablierten internationalen Standard.
Zum Abschluss fordert die DSK den Bundesgesetzgeber auf, in den Beratungen des Entwurfs des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung 2016/679 und zur Umsetzung der Richtlinie 2016/680 die bisherigen Bedenken zu berücksichtigen.