Compliance & Investigations im Jahr 2025

 „Wirksame Compliance erfordert ganzheitliche Ansätze.“

Was ist für die Themen „Compliance & Investigations“ im Jahr 2025 zu erwarten? Fünf Thesen von Prof. Dr. Thomas Grützner und Novartis-Vorstand Dr. Klaus Moosmayer*.

Von der EU-Hinweisgeberrichtlinie über das Finanzmarktintegritätsstärkungsgesetz (FISG) bis hin zum Lieferkettengesetz: Auf die Wirtschaft rollt eine Welle von neuen regulatorischen Anforderungen zu, die Entscheider*innen vor erhebliche Herausforderungen stellen. Zugleich hat die Corona-Krise die oftmals ohnehin bereits diffuse Erwartungshaltung gesetzlicher Anforderungen noch unübersichtlicher gemacht.

Wie gehen die Unternehmen mit diesen Herausforderungen um? Was muss, was wird sich in Sachen Compliance, Risiko- und Krisenmanagement ändern? Darüber haben Thomas Grützner und Klaus Moosmayer im Rahmen der „Virtual White Collar & Compliance Academy“ diskutiert – am Ende standen die folgenden fünf Thesen:

von Dr. Christoph A. BausTim WybitulStefan Patzer, Dr. Isabelle Brams

Die Entscheidung des EuGH wird erhebliche Auswirkungen auf Unternehmen und Schadensersatzklagen nach Art. 82 DSGVO haben.

Der Österreichische Oberste Gerichtshof (OGH) hat mit Beschluss vom 15. April 2021 (Az. 6Ob35/21x) den Weg zu einer einheitlichen Auslegung des datenschutzrechtlichen Schadenersatzrechts geebnet. Im Wege eines Vorabentscheidungsersuchens (Art. 267 AEUV) legte der OGH dem Europäischen Gerichtshof (EuGH) wesentliche Fragen zur Auslegung von Art. 82 DSGVO zur Vorabentscheidung vor. Die bevorstehende Klärung grundsätzlicher Fragen zu DSGVO-Schadensersatz kann erheblichen Einfluss auf entsprechende Gerichtsverfahren in Deutschland haben. Dieser Beitrag gibt einen Überblick über Schadensersatzklagen wegen Datenschutzverstößen und darüber, welche Auswirkungen das Vorabentscheidungsgesuch auf laufende Gerichtsverfahren haben könnte.

Von Tim WybitulDr. Isabelle Brams

Die Frage, wie weit das Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 Satz 1 DSGVO reicht, ist in der Praxis heftig umstritten. Mit dem Bundesarbeitsgericht (BAG) hat nunmehr erstmalig ein oberstes Bundesgericht zu dieser Frage Stellung genommen. Mit seinem Urteil vom 27. April 2021 hat der 2. Senat des BAG eine Revision abgewiesen, die auf „Überlassung einer Kopie von E-Mails“ gerichtet war. Ein solcher Klageantrag sei nicht hinreichend bestimmt und damit unzulässig (Az. 2 AZR 342/20). Das BAG konnte damit offenlassen, wie weit das Recht auf Erhalt einer Kopie in der Praxis konkret auszulegen ist. Zudem konnte der Senat so auf eine Vorlage zum Europäischen Gerichtshof (EuGH) verzichten. Damit wird die Rechtsfrage weiterhin für Diskussionen sorgen.

von Tim Wybitul

Deutsche Gerichte sprechen Klägern zunehmend Schadensersatz wegen DSGVO-Verstößen zu. Beklagte Unternehmen mussten hierbei immaterielle Schäden von bis zu 5.000 Euro ersetzen.  Derartige Schadensersatzforderungen bergen erhebliche Risiken für Unternehmen, denn sie betreffen oft eine Vielzahl möglicher Kläger und beruhen auf sehr ähnlichen oder sogar identischen Sachverhalten. Daher lassen sie sich mit überschaubarem Aufwand massenhaft geltend machen.

Der Überblick in der aktuellen NJW stellt die den Beklagten drohenden Risiken und die verfahrensrechtlichen Besonderheiten von Schadensersatzklagen nach Art. 82 DSGVO

von Tim Wybitul

Viele deutsche Datenschutzbehörden verhängen Bußgelder wegen Verstößen gegen die DSGVO direkt gegen das jeweilige Unternehmen. Dies begründen Sie damit, dass Art. 83 DSGVO eine unmittelbare Funktionsträgerhaftung regele, die den deutschen Regelungen des Ordnungswidrigkeitengesetzes (OWiG) vorgehe. Daher gelte bei Datenschutzverstößen eine Art Sonderbußgeldrecht, bei dem die Datenschutzbehörden keine Pflichtverstöße einer Leitungsperson des Unternehmens feststellen müssten. Eine Zurechnung des Verhaltens einzelner natürlicher Personen gegenüber dem Unternehmen sei nicht nötig.

Von: Tim Wybitul, Dr. Isabelle Brams, Anne Kleffmann, Dr. Tobias Leder

Der Deutsche Gewerkschaftsbund (DGB) hat im Februar 2021 eine Meldung veröffentlicht, nach der das damals als Betriebsrätestärkungsgesetz bezeichnete Gesetzesvorhaben zur Stärkung der Rechte der Betriebsräte gescheitert sei. Nun hat das Bundeskabinett überraschend einen nahezu unveränderten Entwurf als Betriebsrätemodernisierungsgesetz beschlossen. Wie bereits der frühere Referentenentwurf zum Betriebsrätestärkungsgesetz trifft nun auch der Kabinettsentwurf für ein Betriebsrätemodernisierungsgesetz eine Regelung zur datenschutzrechtlichen Stellung des Betriebsrats. Damit bringt das Kabinett eine gesetzliche Klarstellung für die bislang sehr breit diskutierte und für die Praxis sehr relevante Rechtsfrage auf den Weg. Allerdings wirft die getroffene Regelung auch neue Fragen auf.

von Tim Wybitul

In den USA bezeichnet der Begriff „Data Privacy Litigation“ Gerichtsverfahren, in denen der Datenschutz eine entscheidende Rolle spielt. Auch in Deutschland und den anderen Mitgliedstaaten der EU nimmt die Anzahl solcher Prozesse stetig zu. Im Mittelpunkt stehen hier die besonderen haftungsrechtlichen Regelungen der DSGVO, insbesondere Bußgelder und Schadensersatzverfahren. Ein in der aktuellen Zeitschrift für Datenschutz (ZD) veröffentlichter Überblick fasst wesentliche aktuelle Entwicklungen zusammen und gibt einen Ausblick über künftige Brennpunkte.

Der Abdruck erscheint mit freundlicher Genehmigung des

by Tim Wybitul,  Dr. Christoph Baus,  Dr. Isabelle Brams

The German Federal Constitutional Court has ruled that the Court of Justice of the European Union (CJEU) needs to clarify if the General Data Protection Regulation (GDPR) provides for a materiality threshold for GDPR damage claims. The decision overturns a judgment of the Goslar Local Court of 27 September 2019 regarding the unlawful sending of an advertising email.

The fact that the Federal Constitutional Court took the insignificant case

von Tim Wybitul,  Dr. Christoph Baus,  Dr. Isabelle Brams

Das BVerfG hat in einem kürzlich bekanntgewordenen Beschluss klargestellt, dass die Frage nach einer Erheblichkeitsschwelle für DSGVO-Schadensersatzansprüche abschließend durch den EuGH zu klären ist (Beschluss vom 14. Januar 2021, 1 BvR 2853/19).

I.                   Ausgangsverfahren

In dem genannten Beschluss hob das BVerfG ein Urteil des Amtsgerichts Goslar vom 27. September 2019 auf. In dem Urteil ging es um den unrechtmäßigen Versand einer Werbe-E-Mail. Das Amtsgericht war davon ausgegangen, dass dem Kläger kein nach Art. 82 DSGVO auszugleichender Schaden entstanden sei. Die vom Kläger erlittene Beeinträchtigung durch die Werbe-E-Mail habe die Erheblichkeitsschwelle nicht überschritten und sei daher nicht zu erstatten.

Der Kläger legte zunächst eine Anhörungsrüge beim Amtsgericht ein, welche ebenfalls erfolglos bliebt. Daraufhin erhob der Kläger Verfassungsbeschwerde. Er argumentierte, dass die Entscheidung sein Recht auf den gesetzlichen Richter nach Art. 101 Abs. 1 Satz 2 GG verletzt habe. Denn das Amtsgericht habe zu Unrecht davon abgesehen, dem EuGH die Frage der Erheblichkeitsschwelle für DSGVO-Schadensersatzansprüche zur Vorabentscheidung vorzulegen.

von Tim Wybitul, Anne Kleffmann, Dr. Tobias LederDr. Isabelle Brams

Nach einer Meldung des Deutschen Gewerkschaftsbundes (DGB) ist das geplante Gesetzesvorhaben zur Stärkung der Rechte der Betriebsräte (Betriebsratsstärkungsgesetz) gescheitert. Im Koalitionsvertrag hatten die Regierungsparteien vereinbart, die Gründung und Wahl von Betriebsräten zu erleichtern. Insbesondere in Bezug auf den Kündigungsschutz von Initiatoren für Betriebsratswahlen soll es zu inhaltlichen Konflikten gekommen sein. Vor dem Hintergrund der immer näher rückenden Bundestagswahl im September dieses Jahres erscheint ein Kompromiss zu diesen Fragen und damit eine Reform des Betriebsverfassungsrechts immer unwahrscheinlicher. Das Betriebsratsstärkungsgesetz hatte unter anderem auch eine Regelung zur datenschutzrechtlichen Stellung des Betriebsrats vorgesehen. Die entsprechende – weit diskutierte – Rechtsfrage bleibt damit weiterhin ungeklärt.

Überblick

Betriebsräte verarbeiten typischerweise eine Vielzahl von personenbezogenen Daten über Beschäftigte. Bislang ist noch nicht abschließend geklärt, ob der Betriebsrat solche Datenverarbeitungen als eigener datenschutzrechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO durchführt oder – wie nach der früheren Rechtslage – als Teil des Arbeitgebers als datenschutzrechtlich Verantwortlichem. Im Kern der Diskussion steht die Frage, ob der Betriebsrat  gemäß Art. 4 Nr. 7 DSGVO eigenständig über die Zwecke und Mittel von Datenverarbeitungen entscheidet.