Das Land­ge­richt Mann­heim (Az. 1 O 99/23) stell­te in sei­nem Urteil vom März 2024 klar, dass tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) nach der DSGVO nur dann als ange­mes­sen gel­ten, wenn sie auf einer fun­dier­ten Risi­ko­be­wer­tung basie­ren. Die­se Bewer­tung ist essen­zi­ell, um die Ein­tritts­wahr­schein­lich­keit und die poten­zi­el­len Fol­gen von Daten­schutz­vor­fäl­len zu bestim­men und dar­auf basie­rend pas­sen­de Sicher­heits­maß­nah­men zu wählen.

Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men sind das Rück­grat des Daten­schut­zes und umfas­sen unter ande­rem den Schutz vor unbe­rech­tig­tem Zutritt, siche­re Authen­ti­fi­zie­rungs­sys­te­me, Zugriffs­be­schrän­kun­gen und Daten­ver­schlüs­se­lung. Doch erst durch eine indi­vi­du­el­le Risi­ko­ana­ly­se wird sicher­ge­stellt, dass die­se Maß­nah­men auch tat­säch­lich den spe­zi­fi­schen Bedro­hun­gen gerecht wer­den. Das LG Mann­heim ver­deut­lich­te, dass Unter­neh­men nicht nur Stan­dard­maß­nah­men umset­zen dür­fen, son­dern gezielt auf ihre eige­nen Daten­schutz­ri­si­ken ein­ge­hen müssen.

Ver­bands­haf­tung nach der DSGVO: Kon­se­quen­zen für Unternehmen

Das EuGH-Urteil vom 5. Dezem­ber 2023 zur Ver­bands­haf­tung hat die Anfor­de­run­gen für Unter­neh­men im Daten­schutz­recht ver­schärft. Unter­neh­men haf­ten nun direkt für Daten­schutz­ver­stö­ße, auch ohne dass eine kon­kre­te natür­li­che Per­son benannt wer­den muss. Der Fall Deut­sche Woh­nen SE, in dem ein Buß­geld von 14,5 Mil­lio­nen Euro ver­hängt wur­de, zeigt, dass selbst orga­ni­sa­to­ri­sche Män­gel zu einer Haf­tung füh­ren kön­nen. Unter­neh­men müs­sen ihre Daten­schutz-Com­pli­ance daher drin­gend ver­bes­sern, um hohe Buß­gel­der zu vermeiden.

Lesen Sie wei­ter, um mehr über die Aus­wir­kun­gen für Ihr Unter­neh­men zu erfahren.