Der Europäische Gerichtshof hat am Dienstag (5. Dezember) ein wegweisendes Urteil gefällt, das die Verhängung von Bußgeldern bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) erleichtern soll.
Der Europäische Gerichtshof (EuGH) hat ein Urteil gefällt, das den Datenschutzbehörden die Sanktionierung von Verstößen gegen EU-Datenschutzvorschriften erleichtert und im Durchschnitt höhere Bußgelder nach sich ziehen dürfte.
Das Urteil auf EU-Ebene resultiert daraus, dass zwei nationale Gerichte aus Litauen und Deutschland um Leitlinien zu den Bedingungen für die Sanktionierung von Datenverantwortlichen gebeten haben.
In einem der beiden Fälle gerät die Deutsche Wohnen, ein deutsches Immobilienunternehmen, gegen die Staatsanwaltschaft Berlin. In diesem Fall verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Jahr 2020 ein Bußgeld in Höhe von 14,5 Millionen Euro.
„Mit seinem Urteil im Fall ‚Deutsche Wohnen‘ hat der EuGH grundlegende Voraussetzungen für die Verhängung von Bußgeldern gegen Unternehmen wegen DSGVO-Verstößen festgelegt“, sagte der deutsche Rechtsanwalt Stefan Hessel gegenüber Euractiv.
Unterdessen focht in Litauen das dem Gesundheitsministerium unterstellte Nationale Zentrum für öffentliche Gesundheit eine Geldstrafe von 12.000 Euro an, die wegen „einer mobilen Anwendung zur Registrierung und Überwachung der Daten von Personen, die COVID-19 ausgesetzt waren“, verhängt wurde, heißt es in dem Dokument weiter.
„Die heutige wegweisende Entscheidung des EuGH zu DSGVO-Bußgeldern im Fall ‚Deutsche Wohnen‘ stärkt die Durchsetzung der EU-DSGVO, da sie die Anforderungen für die Verhängung von Geldbußen gegen juristische Personen senkt“, sagte Jan Spittka, Partner und DSGVO-Experte bei der globalen Anwaltskanzlei Clyde & Co.
Der heutigen Entscheidung zufolge kann ein Bußgeld wegen Verstoßes gegen Datenverantwortliche verhängt werden, wenn „der Verstoß vorsätzlich oder fahrlässig begangen wurde“.
„Diese Schwelle ist bereits dann überschritten, wenn das Unternehmen als Verantwortlicher objektiv in der Lage war, die Rechtswidrigkeit seines Handelns zu erkennen“, sagte Hessel.
Darüber hinaus kann gegen einen Verantwortlichen ein Bußgeld verhängt werden, „in Bezug auf von einem Auftragsverarbeiter durchgeführte Vorgänge, soweit der Verantwortliche für diese Vorgänge verantwortlich gemacht werden kann“, teilte der EuGH mit.
Auch die Unkenntnis des Verstoßes ist keine Entschuldigung, da das Unternehmen für alle Verstöße verantwortlich ist, die von Personen begangen werden, die in seinem Namen handeln.
„Ein Bußgeld setzt kein Handeln oder gar Wissen der Unternehmensleitung voraus“, erklärte Hessel.
Durch die Entscheidung werde es den Datenschutzaufsichtsbehörden der Mitgliedsstaaten erleichtert, Bußgelder zu verhängen, was künftig auch zu höheren Bußgeldern führen könne, sagte Spittka.
Das verhängte Bußgeld kann sich am Umsatz des Unternehmens oder der Muttergesellschaft orientieren.
Bußgelder betreffen nicht nur EU-Mitgliedstaaten, sondern auch die Länder mit Niederlassungen in der EU und fallen unter die DSGVO. Das Vereinigte Königreich und die USA beispielsweise fielen beide „in den territorialen Geltungsbereich“, erinnerte Spittka.
Um künftig „Haftungsrisiken zu minimieren“, müssen Unternehmen „sicherstellen, dass die Mitarbeiter klarere Weisungen zum Datenschutz erhalten und diese streng überwacht werden“, so Hessel abschließend.
[Edited by Luca Bertuzzi/Nathalie Weatherald]
