Sie sind hier: Home » Recht » Datenschutz und Compliance

Sanktionierung von Datenschutzverstößen


Europäischer Gerichtshof verhandelte Grundsatzfrage zur Sanktionierung von Datenschutzverstößen von Unternehmen
Der EuGH interessierte sich in der mündlichen Verhandlung insbesondere dafür, inwieweit nationale Regelungen in Deutschland Hindernisse bei der europäischen Harmonisierung darstellen



Vor dem Europäischen Gerichtshof fand am 17. Januar 2023, die mündliche Verhandlung in dem Verfahren "Deutsche Wohnen" (C-807/21) statt. Hintergrund ist ein Bußgeld der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) in Höhe von 14,5 Millionen Euro gegen das Unternehmen wegen der ausufernden Speicherung von Mieterdaten. Vor dem EuGH geht es nun um die Grundsatzfrage, ob eine ein Unternehmen betreibende juristische Person in Deutschland nach den Grundsätzen des EU-Rechts unmittelbar für Datenschutzverstöße nach der Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Solche Vorgaben sind der DSGVO fremd.

Entsprechend interessierte sich der EuGH in der mündlichen Verhandlung insbesondere dafür, inwieweit nationale Regelungen in Deutschland Hindernisse bei der europäischen Harmonisierung darstellen. Aufgrund der wesentlichen Bedeutung des Falls hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im Vorfeld der Verhandlung mit einer rechtlichen Einschätzung (https://uldsh.de/230118-dsk) positioniert.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: "Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet."

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, sagte: "Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen."

Zum Hintergrund:
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte gegen die das Unternehmen führende juristische Person im Jahr 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro wegen einer ausufernden Speicherung von Mieterdaten verhängt. Das Landgericht Berlin stellte das Verfahren ein. Die Entscheidung des Landgerichts beruht auf der Rechtsauffassung, dass Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung gegen juristische Personen nur verhängt werden könnten, wenn der Verstoß von einer Leitungsperson begangen worden ist, entweder durch eigenes Handeln oder durch Verletzung von Aufsichtspflichten. Dies entspricht dem deutschen Ordnungswidrigkeitenrecht, nicht jedoch den Grundsätzen der Sanktionierung von Ordnungswidrigkeiten im EU-Recht.

Aufgrund einer Beschwerde durch die Staatsanwaltschaft im Einvernehmen mit der Berliner Datenschutzbeauftragten ist das Verfahren nun beim Berliner Kammergericht anhängig, das die wesentlichen Rechtsfragen dem EuGH zur Vorabentscheidung vorgelegt hat.

Das Landgericht Bonn erkannte als deutsches Gericht in einem anderen Verfahren, dass der Unionsgesetzgeber durch die europäische Vorschrift zur Ahndung von Datenschutzverstößen im Interesse der Durchsetzung eines einheitlichen unionsweiten Datenschutzstandards die Sanktionierung unmittelbar von juristischen Personen voraussetzt. Abweichend vom europäischen Kontext geht das deutsche Ordnungswidrigkeitenrecht davon aus, dass Verstöße gegen nationale Bußgeldtatbestände nur von natürlichen Personen begangen werden können (sog. Rechtsträgerprinzip). Im europäischen Kartellrecht bedarf es hingegen für eine direkte Sanktionierung des Unternehmens nur der Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen (Funktionsträgerprinzip). (ULD: ra)

eingetragen: 15.11.22
Newsletterlauf: 07.02.23


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Datenschutz versehentlich oder mutwillig ignoriert

    Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt - und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.

  • KI datenschutzkonform einsetzen

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) legt eine Orientierungshilfe mit datenschutz-rechtlichen Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor.

  • Möglichkeit von Geldbußen gegenüber Behörden

    Die Bundesregierung hat im Februar 2024 einen Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) vorgelegt (BT-Drs. 20/10859). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu relevanten Punkten des Gesetzentwurfs und zu weitergehendem Regelungsbedarf Stellung genommen.

  • Internet-Nutzer dürfen nicht geschröpft werden

    In einem weiteren offenen Brief wendete sich die Deutsche Vereinigung für Datenschutz e.V. (DVD) gemeinsam mit zwölf Bürgerrechtsorganisationen am 07.03.2024 erneut an die Datenschutzaufsichtsbehörden in der Europäischen Union, um zu verhindern, dass eine datenschutzfreundliche Nutzung des Internets nur noch gegen Bezahlen hoher Gebühren möglich ist.

  • Einstieg in eine anlasslose Massenüberwachung

    Die Verhandlungen zum EU-Verordnungsentwurf zur Bekämpfung des sexuellen Online-Kindesmissbrauchs (CSA-Verordnung) sind in eine entscheidenden Phase. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) haben anlässlich dessen in einer Gemeinsamen Stellungnahme den EU-Gesetzgeber dazu aufgerufen, die wesentlichen Änderungsvorschläge des Europäischen Parlaments (EP) zu unterstützen.

Personenbezogene Daten wirksam schützen Maßnahme zu Cloud-Diensten

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen