Der Europäische Gerichtshof hat am Dienstag (5. Dezember) ein wegweisendes Urteil gefällt, das die Verhängung von Geldbußen bei Verstößen gegen die EU-Datenschutzgrundverordnung (DSGVO) erleichtern wird.
Der Europäische Gerichtshof (EuGH) fällte ein Urteil, das es den Datenschutzbehörden erleichtern wird, Verstöße gegen die EU-Datenschutzvorschriften zu ahnden und im Durchschnitt höhere Geldbußen zu verhängen.
Das Urteil auf EU-Ebene geht auf zwei nationale Gerichte aus Litauen und Deutschland zurück, die um Leitlinien zu den Voraussetzungen für die Verhängung von Sanktionen gegen Datenverwalter gebeten hatten.
In einem der beiden Fälle wehrte sich das Immobilienunternehmen Deutsche Wohnen gegen die Staatsanwaltschaft Berlin. Das Unternehmen wurde zuvor vom Beauftragten für Datenschutz und Informationsfreiheit in Berlin im Jahr 2020 eine Geldbuße in Höhe von 14,5 Millionen Euro angehängt.
„Mit seinem Urteil im Fall Deutsche Wohnen hat der EuGH grundlegende Voraussetzungen für die Verhängung von Bußgeldern gegen Unternehmen bei Verstößen gegen die DSGVO festgelegt“, so der Rechtsanwalt Stefan Hessel gegenüber Euractiv.
In Litauen focht das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium eine Geldstrafe in Höhe von 12.000 Euro an. Die Geldbuße wurde wegen einer „mobilen Anwendung, die der Erfassung und Überwachung
der Daten der dem Covid-19-Virus ausgesetzten Personen dienen sollte“, verhängt, heißt es in dem Dokument weiter.
„Die heutige wegweisende Entscheidung des EuGH zu Geldbußen in der Rechtssache ‚Deutsche Wohnen‘ stärkt die Durchsetzung der EU-DSGVO, da sie die Voraussetzungen für die Verhängung von Geldbußen gegen juristische Personen senkt“, sagte Jan Spittka, Partner und DSGVO-Experte der international tätigen Anwaltskanzlei Clyde & Co.
Nach der heutigen Entscheidung kann gegen einen für die Datenverarbeitung Verantwortlichen eine Geldbuße wegen eines Verstoßes verhängt werden, wenn dieser „Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde.“
„Diese Grenze ist bereits überschritten, wenn das Unternehmen als für die Verarbeitung Verantwortlicher objektiv in der Lage war, die Rechtswidrigkeit seines Handelns zu erkennen“, so Hessel.
Außerdem kann gegen einen Verantwortlichen auch eine Geldbuße für „Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können“, teilte der EuGH mit.
Auch die Unkenntnis über den Verstoß ist keine Entschuldigung, da das Unternehmen für alle Verstöße verantwortlich ist, die von Personen begangen werden, die in seinem Namen handeln.
„Für eine Geldbuße muss das Leitungsorgan des Unternehmens den Verstoß nicht begangen haben oder davon wissen“, erklärte Hessel.
Die Entscheidung wird es den Datenschutzaufsichtsbehörden der Mitgliedstaaten erleichtern, Geldbußen zu verhängen, was auch dazu führen könnte, dass in Zukunft höhere Geldbußen verhängt werden, so Spittka.
Die verhängte Geldbuße kann sich am Umsatz des Unternehmens oder der Muttergesellschaft orientieren.
Die Geldbußen werden nicht nur die EU-Mitgliedstaaten betreffen, sondern auch die Länder mit Niederlassungen in der EU, die unter die DSGVO fallen. Das Vereinigte Königreich und die USA zum Beispiel fallen beide „in den territorialen Anwendungsbereich“, erinnerte Spittka.
Um „Haftungsrisiken in Zukunft zu minimieren“, müssen Unternehmen „sicherstellen, dass die Mitarbeiter klarere Anweisungen zum Datenschutz erhalten und diese genau überwacht werden“, folgerte Hessel.
Quelle : EURACTIV
