Worum geht es?
Die Datenschutz-Grundverordnung feierte zwar im Mai 2023 ihren 5. Jahrestag, doch sind nach wie vor viele Rechtsfragen offen. Der Europäische Gerichtshof hatte in diesem Zusammenhang eine ganze Reihe von datenschutzrechtlichen Vorlagefragen nationaler Instanzgerichte zum Jahresende 2023 mit nicht unerheblicher Bedeutung für Verantwortliche zu beantworten.
Kernfeststellungen im Überblick:
- Die Verhängung eines Bußgeldes setzt im Falle juristischer Personen lediglich ein Unternehmensverschulden voraus.
- Können Verarbeitungsvorgänge eines Auftragsverarbeiters dem Verantwortlichen zugerechnet werden, so kann dieser hierfür mit einem Bußgeld belegt werden.
- Für die Bemessung eines Bußgeldes kann der Gesamtumsatz eines Unternehmenskonzerns herangezogen werden.
- Bereits eine Mitwirkung an einer Entscheidung über Zwecke und Mittel einer Verarbeitung begründet eine gemeinsame Verantwortlichkeit.
- Eine Datenschutzverletzung lässt nicht automatisch auf die Unangemessenheit technisch organisatorischer Maßnahmen schließen.
- Der Verantwortliche muss den Einsatz angemessener technisch organisatorischer Maßnahmen nachweisen.
- Verantwortliche können auch für Verstöße von Dritten haften (Stichwort: Hackerangriffe).
- Für immaterielle Schäden gibt es keine Bagatellgrenze.
- Die Befürchtung eines Missbrauchs personenbezogener Daten kann einen immateriellen Schaden darstellen.
- Betroffene müssen nachweisen, dass ihnen durch eine Verletzung der DS-GVO ein Schaden entstanden ist.
- Der Schadenersatzanspruch nach der DS-GVO hat lediglich eine Ausgleichsfunktion und soll keine abschreckende oder Straffunktion haben.
- Die Haftung des Verantwortlichen setzt dessen Verschulden voraus, welches grundsätzlich vermutet wird.
- Der Grad der Verschuldens des Verantwortlichen muss bei der Bemessung der Entschädigungshöhe eines immateriellen Schadens nicht herangezogen werden.
Was bedeutet dies für die Hotellerie?
Hotelbetreiber sollten auf Grundlage der Positionierungen des Europäischen Gerichtshofs ihre Verarbeitungsprozesse, die eingesetzten technisch organisatorischen Maßnahmen und auch die internen Dokumentationsprozesse überprüfen. Zwar dürften die durch den Europäischen Gerichtshof erfolgten Klarstellungen nicht zu regelrechten Wellen neuer Bußgeld- und Schadenersatzverfahren im Jahr 2024 führen, gleichwohl wurden die Maßstäbe, an denen sich Verantwortliche in Zukunft messen lassen müssen bzw. anhand derer sich diese im Falle von Datenschutzverletzungen exkulpieren bzw. schadlos halten können, durchaus empfindlich erhöht. Hierauf sollten Hotelbetreiber entsprechend reagieren und vorbereitet sein.
Wir stehen bei der rechtlichen Beratung an Ihrer Seite. Rufen Sie uns gerne unter + 49 211 – 5997770 an oder senden uns eine E-Mail an info@wmrg.de.
Dieser Beitrag wurde verfasst von Mathias Iking | Rechtsanwalt