Das jüngste Urteil des Obersten Gerichtshofs 188/2022 untersucht die Datenschutzpflicht auf und erklärt die Verantwortlichkeit von Gesellschaften in Bezug auf diese Verpflichtung, den Schutz der personenbezogenen Daten ihrer Kunden zu gewährleisten.
Der Fall befasst sich mit einem Fehler, der Dritten unbefugten Zugriff auf persönliche Kundendaten ermöglichte. Konkret lag der Verstoß vor, weil die E-Mail, die in den Anträgen auf Finanzierung von Telephonische-produkten erschien, nicht mit der des Kunden/Antragstellers übereinstimmte und in der Folge Dritten unbefugten Zugriff auf die Informationen dieser Anträge (Vor- und Nachnamen, Wirtschafts- und Bankeinzug-daten und Unterschrift) ermöglichten.
Die spanische Datenschutzbehörde (AEPD) verhängte gegen das Unternehmen eine Geldbuße in Höhe von 40.001 € wegen Verstoßes gegen Artikel 9.1 des Datenschutzgesetzes (LOPD), der in Artikel 44.3.h) als schwerwiegender Verstoß eingestuft wird. Als Reaktion auf diese Sanktion wurde Berufung eingelegt, die vom Strafgericht National mit Urteil vom 22. Juli 2020 abgewiesen wurde und zu der Berufung führte, die der Oberste Gerichtshof in dem in diesem Artikel analysierten Urteil entscheidet.
Artikel 9.1 des LOPD sieht vor: „Die für die Datei verantwortliche Person und gegebenenfalls die für die Verarbeitung verantwortliche Person muss die erforderlichen technischen und organisatorischen Maßnahmen ergreifen, die die Sicherheit personenbezogener Daten gewährleisten und deren Änderung, Verlust, Behandlung oder unbefugten Zugriff verhindern, unter Berücksichtigung des Stands der Technik, der Art der gespeicherten Daten und der Risiken, denen sie ausgesetzt sind“.
Der Rechtsmittelführer macht geltend, dass Artikel 9.1 des LOPD eine Ergebnisverpflichtung aufstelle, die im Widerspruch zu der Gesetzgebung und Rechtsprechung stehe, die eine Mittelverpflichtung aufstellen.
Die Dritte Kammer des Obersten Gerichtshofs weist dieses Argument zurück und stellt klar, dass die Verpflichtung von Unternehmen, die Sicherheit personenbezogener Daten in ihren Dateien zu gewährleisten, eine Verpflichtung der Mittel und nicht der Ergebnisse ist. Wir haben es also nicht mit einer sach-haftung Verletzung zu tun, wie die Beschwerdeführerin behauptet, sondern mit einer „Sorgfaltspflicht“.
Die Verwaltungsstreitkammer weist darauf hin, dass die Pflicht darin besteht, technisch angemessene Maßnahmen festzulegen und diese mit angemessener Sorgfalt umzusetzen und anzuwenden. Die Kammer fügt hinzu, dass diese Maßnahmen „ein angemessenes Sicherheitsniveau in Bezug auf die Art und das Risiko der zu schützenden Daten gewährleisten müssen“. Diese Anforderung ist eng verknüpft mit „vorhandenem Fachwissen und den Kosten für die Anwendung der Maßnahmen“.
Diese Auslegung steht im Einklang mit der europäischen Richtlinie 95/46/EG, die in unserem Rechtssystem durch das inzwischen aufgehobene Gesetz zum Schutz personenbezogener Daten von 1999 umgesetzt wurde.
Somit setzt sich diese Sorgfaltspflicht aus zwei Elementen zusammen:
i) technische und organisatorische Maßnahmen zum Datenschutz zu entwickeln;
ii) die korrekte Umsetzung und Entwicklung dieser Maßnahmen zur Erreichung des beabsichtigten Zwecks.
Die Unfehlbarkeit der getroffenen Maßnahmen ist nicht erforderlich weder notwendig, sondern nur die Umsetzung dieser Maßnahmen und ihre Anpassung an die Art der zu schützenden Informationen.
Auf diese Weise bestätigt der Oberster Gerichtshof die von der AEPD verhängte Sanktion, nachdem er festgestellt hat, dass das beschwerdeführendes Unternehmen keine Sicherheitsmaßnahmen ergriffen hat, die es ihm ermöglichen würden, zu überprüfen, ob die eingegebene Adresse echt oder fiktiv war und ob sie wirklich der Person gehörte, deren Daten verarbeitet wurden. Der Oberster Gerichtshof weist darauf hin, dass es zum Zeitpunkt der Zuwiderhandlung Systeme gab, die die Überprüfung dieser Informationen ermöglichten, und dass der damalige Stand der Technik es daher ermöglichte, angemessene Maßnahmen zum Schutz von Informationen festzulegen. Das Unternehmen hat diese Maßnahmen fahrlässig nicht angewandt.
Die Kammer weist auch darauf hin, dass der Umstand, dass der Verstoß gegen den Artikel auf fahrlässigem Verhalten einer Angestellte beruhte, das Unternehmen nicht von der Verantwortung entbindet, sondern im Gegenteil darauf hindeutet, dass das Datenverarbeitungsprogramm des Unternehmens nicht in geeigneter Weise verwendet wurde.
Aleix Cuadrado
Vilá Abogados
Für weitere Auskunft bitte setzen Sie sich mit:
4. März 2022
